Вредоносная программа, предоставляющая злоумышленнику удаленный доступ к зараженному компьютеру, использует для распространения каталоги обмена файлами P2P-сетей.
Вредоносная программа, предоставляющая злоумышленнику удаленный доступ к зараженному компьютеру, использует для распространения каталоги обмена файлами P2P-сетей. Является приложением Windows (PE-EXE файл). Имеет размер 104448 байт. Упакована неизвестным упаковщиком. Распакованный размер - около 108 КБ. Написана на C++.
Инсталляция
Создает копию своего файла в следующем каталоге
%AppData%\iptyr.exe
Данному файлу устанавливает атрибут "скрытый".
Для автоматического запуска при каждом следующем старте системы троянец добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:
[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]"Taskman" = "%AppData%\iptyr.exe"
name="doc3">
Деструктивная активность
Для имитации легитимности файл троянца содержит ложную информацию о файле:
Троянец выполняет внедрение вредоносного кода в процесс с именем "explorer.exe" после чего завершает свое выполнение.
- Создает копии тела червя на всех доступных на запись сетевых и съемных дисках под именем "kromirani.exe":
Где:\dupler\kromirani.exe - буква сетевого или съемного диска. При этом каталогу с копией червя устанавливает атрибут "скрытый". Также помещает в корень диска сопровождающий файл:
который запускает исполняемый файл копии червя, каждый раз, когда пользователь открывает зараженный раздел при помощи программы "Проводник".:\autorun.inf - Добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:
[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]"Taskman" = "%AppData%\iptyr.exe"
- Реализует функционал бэкдора. Для этого соединяется с удаленными хостами:
prc***aonica.comkre***potice.rusom***sting.net84.***.194
Вредоносный код, внедренный в процесс выполняет следующие действия:
Червь способен по команде злоумышленника осуществлять загрузку файлов на зараженный компьютер. Загруженные файлы сохраняются во временном каталоге пользователя под случайными именем:
%Temp%\.exe
Где
Имеет возможность сохранять загруженные файлы с именами "Crack.exe" и "Keygen.exe" в каталоги обмена файлами P2P-сетей, которые расположены на локальной машине, а также в каталог:
%ALLUSERSPROFILE%\Local Settings\Application Data\Ares\My Shared Folder
каталоги обмена файлами P2P-сетей получает, анализируя параметры ключей системного реестра:
[HKCU\Software\BearShare\General][HKCU\Software\iMesh\General][HKCU\Software\Shareaza\Shareaza\Downloads][HKCU\Software\Kazaa\LocalContent][HKCU\Software\DC++][HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\eMule Plus_is1]
По команде злоумышленника также возможна подмена файла "hosts":
%System%\etc\hosts
Также имеет возможность осуществлять DoS-атаку на указанный злоумышленником сервер.
На момент создания описания троянец загружал свои обновленные версии по следующему URL:
http://188.***.244/bojim/529.exe
- Отправляет на адрес злоумышленника имена Интернет ресурсов и сохраненные пароли к ним, если пользователь использовал следующие браузеры:
Mozilla FirefoxInternet ExplorerOpera