Троянская программа, выполняющая деструктивные действия на компьютере пользователя.
Технические детали
Троянская программа, выполняющая деструктивные действия на компьютере пользователя. Программа является приложением Windows (PE DLL-файл). Имеет размер 69632 байта. Написана на C++.
Деструктивная активность
После активации троянец выполняет обращение к серверу обновлений "Microsoft" по ссылке:
http://download.windowsupdate.com/Результат обращения к серверу пытается сохранить в файл:
%Temp%\где.tmp
Далее троянец выполняет чтение следующих ключей системного реестра Windows:
[HKLM\Software\Microsoft\Windows NT\CurrentVersion] "ProductName" "CSDVersion" "InstallDate" [HKLM\Software\Microsoft\Cryptography] "MachineGuid"На основании которых формирует строку обращения к управляющему серверу. Данные отправляются с помощью POST метода по следующему URL адресу:
http://mega***en.com/class3/c.phpОбмен данными с сервером выполняется в зашифрованном виде, для чего использует криптографические механизмы Microsoft Windows.
В ответ сервер передает управляющие команды, а также некоторые параметры. Троянец может получать следующие команды:
Reboot- DownloadAndExecuteEXE- DAMPDLL- Wipe- Update- SelfRemove- CfgWrite.В результате выполнения команд троянец выполняет следующий вредоносный функционал:
- Получая системные привилегии, выполняет принудительную перезагрузку компьютера.
- Загружает файл по ссылке, которая поступает с сервера злоумышленника, и запускает его на выполнение. Загруженные файлы сохраняются во временном каталоге текущего пользователя с именем:
%Temp%\
где.tmp - произвольная последовательность из букв и цифр латинского алфавита. - Удаляет указанные злоумышленником файлы.
- Загружает обновленную версию своего оригинального файла и запускает ее на выполнение. Например, для обновления своего файла, троянец получал с сервера следующие команды:
cmd Update Url http://meg***en.com/class3/u.php?f=rZ80fOiDsF60 Version 9.9.9.9 LoadImmidiatly true
- Приводит к неработоспособности системы, удаляя системные файлы:
%System%\config\software.sav %System%\config\system.sav %System%\config\system %System%\config\default %System%\config\SAM %System%\config\SECURITY %System%\config\software %System%\config\afw_db.conf %System%\config\afw_hm.conf %System%\config\AppEvent.Evt %System%\config\SysEvent.Evt %System%\config\fsdb.sdb %System%\config\rules.rdb %System%\config\Internet.evt %System%\config\SecEvent.Evt %System%\config\userdiff
Также записывает "мусорные" данные в главную загрузочную запись (MBR) жесткого диска. - Получать новые конфигурационные данные с сервера злоумышленника.
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
- Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
- Удалить файлы:
%Temp%\
.tmp
%Temp%\.tmp