Троянская программа, предоставляющая злоумышленнику удаленный доступ к зараженному компьютеру. Является приложением Windows (PE-EXE файл). Имеет размер 19456 байт. Написана на C++.
| Время детектирования |
07 фев 2009 10:08 MSK |
| Время выпуска обновления |
07 фев 2009 14:13 MSK |
| Описание опубликовано |
13 окт 2009 17:16 MSK |
Технические детали
Троянская программа, предоставляющая злоумышленнику удаленный доступ к зараженному компьютеру. Является приложением Windows (PE-EXE файл). Имеет размер 19456 байт. Написана на C++.
Деструктивная активность
После запуска, для контроля уникальности своего процесса в системе троянец создает уникальный идентификатор с именем: XXX5 Внедряет в адресное пространство процесса "WINLOGON.EXE" исполняемый код, обеспечивающий злоумышленнику возможность удаленного управления зараженным компьютером посредством посылки IRC-команд. Добавляет процесс с внедренным кодом в список доверенных приложений Windows Firewall: [HKLM\System\CurrentControlSet\Services\SharedAccess\Parameters \FirewallPolicy\StandardProfile\AuthorizedApplications\List] "\\??\\%System%\\winlogon.exe"="\\??\\%System%\\winlogon.exe:*:enabled:@shell32.dll,-1" Отключает функцию восстановления системных файлов. Пытается подключиться к следующим IRC-серверам: irc***ef.pl pro***ircgalaxy.pl если это удается, то он получает ссылки на вредоносные файлы предназначенные для загрузки. На момент создания описания список получаемых ссылок был следующим: http://***mash.cn/oc/box.txt http://***stiya.cn/sp/me.txt http://***stiya.cn/sp/me2.txt http://www.***s.pl/EvID4226Patch.exe Троянец загружает файлы по указанным URL адресам и сохраняет во временный каталог Windows под именами: %WinDir%\TEMP\VRT1.tmp Данный файл имеет размер 11264 байта и детектируется Антивирусом Касперского как Backdoor.Win32.SdBot.pcx. %WinDir%\TEMP\VRT2.tmp Данный файл имеет размер 53248 байт и детектируется Антивирусом Касперского как Trojan-Downloader.Win32.Genome.sas. %WinDir%\TEMP\VRT3.tmp
Данный файл имеет размер 59392 байта и детектируется Антивирусом Касперского как Worm.Win32.Agent.zl. %WinDir%\TEMP\VRT4.tmp Данный файл имеет размер 39936 байт. Распространение Внедряет свой код в адресное пространство всех запущенных в системе процессов. Внедренный код перехватывает следующие системные функции в библиотеке ntdll.dll: NtCreateFile NtCreateProcess NtCreateProcessEx NtOpenFile NtQueryInformationProcess при помощи которых следит за открываемыми файлами и
запускаемыми приложениями. При обнаружении запуска нового процесса или открытии исполняемого файла производит его заражение. Заражаются файлы с расширениями .EXE и .SCR, которые являются приложениями Windows (PE-EXE). Не заражает файлы, которые содержат в своем имени следующие строки : "WINC", "WCUN", "WC32". При заражении расширяет последнюю PE-секцию заражаемого файла. Зараженные файлы детектируются как Virus.Win32.Virut.ce.
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия: 1. Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер). 2. Удалить файлы: %WinDir%\TEMP\VRT1.tmp %WinDir%\TEMP\VRT2.tmp %WinDir%\TEMP\VRT3.tmp %WinDir%\TEMP\VRT4.tmp 3. Удалить параметр системного реестра: [HKLM\System \CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile
\AuthorizedApplications\List] "\\??\\%System%\\winlogon.exe"="\\??\\%System%\
\winlogon.exe:*:enabled:@shell32.dll,-1"
4. Произвести полную проверку компьютера Антивирусом с обновленными антивирусными базами.
|
