Троянская программа, выполняющая деструктивные действия на компьютере пользователя. Является динамической библиотекой Windows (-PE DLL-файл)-.
Троянская программа, выполняющая деструктивные действия на компьютере пользователя. Является динамической библиотекой Windows (PE DLL-файл). Имеет размер 40960 байт. Написана на C++.
name="doc3">
Деструктивная активность
Троянская библиотека экспортирует функцию "testall", вызов которой приводит к выполнению следующих действий:
- если в системе найден процесс с именем "CCENTER.EXE", то бинарный файл драйвера
%System%\drivers\AsyncMac.sys
подменяется файлом, извлеченным из тела троянца. Извлеченный файл имеет размер 2688 байт, детектируется Антивирусом Касперского как "Trojan-Downloader.Win32.Geral.bnb". Кроме того, останавливаются службы:RavCCenter
RfwTask
RfwService
RsScanSrv
RavTray
RsRavMon
RavTask
RfwCCenter - Если в системе найден процесс с именем "ekrn.exe", то троянец останавливает службу "ekrn", после чего запускает системный командный интерпретатор "cmd.exe" с параметрами:
/c sc delete ekrn
что приводит к удалению службы "ekrn". - Если в системе запущен процесс "MPSVC.exe", троянец останавливает службу "MPSVCService".
- Если в системе запущен процесс с именем "mcshield.exe", троянец останавливает службы:
McAfeeEngineService
McAfeeFramework
McShield
McTaskManager
mfevtp - Если в системе найден процесс "ccSvcHst.exe", троянец останавливает службы:
Norton AntiVirus
.norton2009Reset - Если в системе найден процесс с именем "avp.exe", троянец останавливает службу "avp", после чего запускает системный командный интерпретатор "cmd.exe" со следующими параметрами:
/c sc config avp start= disabled
Таким образом, отменяется автоматический запуск службы "avp" и завершается процесс "avp.exe". Также троянец подменяет бинарный файл драйвера
/c taskkill.exe /im avp.exe /f%System%\drivers\aec.SYS
файлом, извлеченным из собственного тела. Извлеченный файл имеет размер 2048 байт, детектируется Антивирусом Касперского как "Trojan-Downloader.Win32.Geral.bnb". - Если в системе найден процесс "bdagent.exe", останавливаются службы:
XCOMM
LIVESRV
scan
VSSERV - Если в системе запущен процесс с именем "KAVStart.exe", троянец запускает системный командный интерпретатор "cmd.exe" с параметрами:
/c sc config KwatchSvc start= disabled
Это отменяет автоматический запуск служб:
/c sc config kaccore start= disabled
/c sc config KISSvc start= disabled
/c taskkill.exe /im KwatchSvc.exe /fKwatchSvc
а также завершает процесс "KwatchSvc.exe".
kaccore
KISSvc - Из системной памяти выгружаются следующие процессы:
avp.exe
safeboxTray.exe
360Safebox.exe
360tray.exe
antiarp.exe
ekrn.exe
RsAgent.exe
mfeann.exe
egui.exe
RavMon.exe
RavMonD.exe
RavTask.exe
CCenter.exe
RavStub.exe
RsTray.exe
ScanFrm.exe
Rav.exe
AgentSvr.exe
QQDoctor.exe
McProxy.exe
mcshield.exe
rsnetsvr.exe
naPrdMgr.exe
MpfSrv.exe
MPSVC.exe
MPSVC1.exe
KISSvc.exe
KPfwSvc.exe
kmailmon.exe
KavStart.exe
engineserver.exe
KPFW32.exe
KVSrvXP.exe
ccSetMgr.exe
ccEvtMgr.exe
defwatch.exe
rtvscan.exe
ccapp.exe
vptray.exe
mcupdmgr.exe
mfevtps.exe
mcsysmon.exe
mcmscsvc.exe
mcnasvc.exe
mcagent.exe
vstskmgr.exe
FrameworkService.exe
mcshell.exe
mcinsupd.exe
bdagent.exe
livesrv.exe
vsserv.exe
xcommsvr.exe
ccSvcHst.exe
SHSTAT.exe
McTray.exe
udaterui.exe
Uplive.exe
KWatch.exe
QQDoctorRtp.exe
DrUpdate.exe
rfwsrv.exe
RegGuide.exe
MPSVC2.exe
MPMon.exe
LiveUpdate360.exe
rssafety.exe
egui.exe
KSWebShield.exe
360delays.exe - Создаются ключи системного реестра: [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution
Options\]
"" = "svchost.exe"Всего создается 70 ключей. Подстрока принимает значения из приведенного ранее списка завершаемых процессов. Таким образом, блокируется запуск перечисленных процессов. - Удаляются все ключи из следующей ветви системного реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]