| Время детектирования |
18 июл 2009 22:40 MSK |
| Время выпуска обновления |
22 июл 2009 18:48 MSK |
| Описание опубликовано |
09 окт 2009 11:14 MSK |
Технические детали
Троянская программа, выполняющая деструктивные действия на компьютере пользователя. Программа является приложением Windows (PE EXE-файл). Размер зараженных файлов варьируется от 274432 до 749568 байт. Написана на C++.
Инсталляция
После запуска троянец создает ключ системного реестра:
[HKCU\Software\Lite Axis Bashmulti]
Для автоматического запуска при каждом следующем старте системы троянец добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"Beepcast"="%Application Data%\downloadsectbows\info real aim.exe"
Деструктивная активность
После запуска троянец запускает процесс браузера Internet Explorer и внедряет в него свой код. В ходе работы троянец многократно создает и удаляет каталоги:
%Program Files%\
Где - случайная последовательность маленьких латинских букв. Например, nauqmoolksimyht, udxpbzfgxgvqozj, kbuqjibbkhehwlm. Кроме того, создает и удаляет пустые ярлыки в избранном браузера Internet Explorer со следующими названиями:
Online Gaming
Computers
Computers\Games
Internet
Internet\Education
Shopping Gifts
Travel
Cool Stuff
Cool Stuff\Fun Stuff
Cool Stuff\Home
Cool Stuff\Online Pharmacy
Adult Items
Adult Entertainment
Adult Entertainment\Dating
Dating
Online Pharmacy
Shopping Gifts
Home
Вместе с этим троянец производит обращение в интернет на сервера с IP-адресами, соответствующими маске:
66.220.17.*
В момент обращения троянец переписывает файл:
%System%\drivers\etc\hosts
При этом мониторинг сетевой активности показывает обращение на адреса:
***301.nb.host192-168-1-2.com
***804.nb.host127-0-0-1.com
***510.nb.host127-0-0-1.com
***23.nb.host127-0-0-1.com
***host127-0-0-1.com
После обращения файл "hosts" восстанавливается. С указанных серверов скачиваются файлы, которые переносятся в специально созданные каталоги из каталога временных файлов интернет:
%Application Data%\Bind army eggs joy\Wait gpl.exe — 749568 байт, детектируется Антивирусом Касперского как Trojan.Win32.Swizzor.b
%Application Data%\Bind army eggs joy\Wait gpl.dat — 40332 байта
%Application Data%\downloadsectbows\info real aim.exe — 507904 байта, детектируется Антивирусом Касперского как Trojan.Win32.Swizzor.b
%Application Data%\downloadsectbows\mqlvrptr.exe — 749568 байт, детектируется Антивирусом Касперского как Trojan.Win32.Swizzor.b
%Application Data%\downloadsectbows\mealcitytonsmpeg.exe — 274432 байта, детектируется Антивирусом Касперского как Trojan.Win32.Swizzor.b
%Application Data%\downloadsectbows\software frag curb.exe — 282624 байта, детектируется Антивирусом Касперского как Trojan.Win32.Swizzor.aul
%Application Data%\downloadsectbows\0 — 1060 байт
Кроме того, во временном каталоге текущего пользователя сохраняется файл "sta1.exe":
%Temp%\sta1.exe
Данный файл имеет размер 507904 байта и детектируется Антивирусом Касперского как Trojan.Win32.Swizzor.b. Файл идентичен ранее упомянутому файлу:
%Application Data%\downloadsectbows\info real aim.exe
Некоторые образцы, кроме уже перечисленного, удаляют следующие ключи реестра:
HKLM\Software\yoproiwkoawgpdq
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\shsllst
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\abtu
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\eggs joy math type
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Beepcast
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\Beepcast
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\internat.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\AutoLoaderAproposClient
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\AutoUpdater
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\msbb
HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\onlineeachburn
HKLM\Software\Microsoft\Internet Explorer\Main\Search Page
HKCU\Software\Microsoft\Internet Explorer\Main\Search Page
HKLM\Software\Microsoft\Internet Explorer\Main\Search Bar
HKCU\Software\Microsoft\Internet Explorer\Main\Use Custom Search URL
HKLM\Software\Microsoft\Internet Explorer\Main\Use Custom Search URL
HKCU\Software\Microsoft\Internet Explorer\Main\Search Bar
HKLM\Software\Microsoft\Internet Explorer\Toolbar\{9B35A850-66AB-4c6d-8A66-136ECADCD904}
Так же троянец удаляет исключения для следующих доменных имен:
www.saoe.com
www.tefs.com
www.tdmy.com
www.tdak.com
www.tdko.com
www.scrk.com
www.sckr.com
www.sbvr.com
www.sbnl.com
www.sbnt.com
www.sbjr.com
www.tfil.com
www.wflu.com
www.wfix.com
www.thko.com
www.tjar.com
www.tjaw.com
www.tjdo.com
www.tjem.com
www.tjgo.com
www.sfux.com
www.aavc.com
www.acjp.com
www.ecpm.com
www.ecmh.com
www.wabu.com
www.wabq.com
www.find-quick.com
www.lop.com
www.maximumexperience.com
www.trinityacquisitions.com
www.crap2.com
www.wethere.com
www.wrn.net
www.lop2.com
www.mysearchnow.com
www.allaboutsearching.com
www.amazingautossearch.com
www.asearchforyou.org
www.contexualsearch.com
www.errorfreesearch.com
www.intelesearch.com
www.isearchhere.com
www.iwantosearch.com
www.netsearchsoft.com
www.omegasearch.com
www.opensearch.org
www.prosearching.com
www.searchbee.net
www.searchexe.com
www.searchhotsex.com
www.ifsearch.com
www.mastersearcher.com
www.searchweb2.com
www.search200.com
www.look-today.com
www.patchou.com
www.msgplus.net
www.adintelligence.net
www.revenue.net
www.zone-media.com
www.cc214142.com
www.startnow.com
www.dns-look-up.com
www.cidhelp.com
www.saoe.com
www.tefs.com
www.tdmy.com
www.tdak.com
www.tdko.com
www.scrk.com
www.sckr.com
www.sbvr.com
www.sbnl.com
www.sbnt.com
www.sbjr.com
www.tfil.com
www.wflu.com
www.wfix.com
www.thko.com
www.tjar.com
www.tjaw.com
www.tjdo.com
www.tjem.com
www.tjgo.com
www.sfux.com
www.aavc.com
www.acjp.com
www.ecpm.com
www.ecmh.com
www.wabu.com
www.wabq.com
www.find-quick.com
www.lop.com
www.maximumexperience.com
www.trinityacquisitions.com
www.crap2.com
www.wethere.com
www.wrn.net
www.lop2.com
www.mysearchnow.com
www.allaboutsearching.com
www.amazingautossearch.com
www.asearchforyou.org
www.contexualsearch.com
www.errorfreesearch.com
www.intelesearch.com
www.isearchhere.com
www.iwantosearch.com
www.netsearchsoft.com
www.omegasearch.com
www.opensearch.org
www.prosearching.com
www.searchbee.net
www.searchexe.com
www.searchhotsex.com
www.ifsearch.com
www.mastersearcher.com
www.searchweb2.com
www.search200.com
www.look-today.com
www.patchou.com
www.msgplus.net
www.adintelligence.net
www.revenue.net
www.zone-media.com
www.cc214142.com
www.startnow.com
www.dns-look-up.com
www.cidhelp.com
Зараженный процесс Internet Explorer остается в памяти и повторяет описанную вредоносную активность через случайные промежутки времени. За это время файлына серверах, которые закачивает троянец, могут меняться.
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
-
Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
-
Удалить ключи системного реестра:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"Beepcast"="%Application Data%\downloadsectbows\info real aim.exe"
[HKCU\Software\Lite Axis Bashmulti]
-
Удалить файлы и каталоги, созданные троянцем:
%Application Data%\Bind army eggs joy\Wait gpl.exe
%Application Data%\Bind army eggs joy\Wait gpl.dat
%Application Data%\Bind army eggs joy\
%Application Data%\downloadsectbows\info real aim.exe
%Application Data%\downloadsectbows\mqlvrptr.exe
%Application Data%\downloadsectbows\mealcitytonsmpeg.exe
%Application Data%\downloadsectbows\software frag curb.exe
%Application Data%\downloadsectbows\0
%Application Data%\downloadsectbows\
%Temp%\sta1.exe
-
Очистить каталог Temporary Internet Files, содержащий инфицированные файлы(Как удалить инфицированные файлы в папке Temporary Internet Files?):
-
При необходимости восстановить удаленные ключи реестра и исключения для доменных имен.
-
Произвести полную проверку компьютера Антивирусом с обновленными антивирусными базами
|
