Security Lab

Trojan-Downloader.Win32 Small.cof

Trojan-Downloader.Win32 Small.cof

Троянская программа, загружающая из интернета файлы без ведома пользователя.

Троянская программа, загружающая из интернета файлы без ведома пользователя. Является приложением Windows (PE EXE-файл). Написана на ассемблере. Размер зараженного файла — 12 800 байт.

Инсталляция

При запуске троянец копирует себя в корневой каталог Windows с именем sysvx_.exe:

%WinDir%\sysvx_.exe

Затем регистрирует этот файл в ключе автозапуска системного реестра:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"sysvx"="%WinDir%\sysvx_.exe"

При каждой следующей загрузке Windows автоматически запустит файл-троянец.

Также троянец создает в системном каталоге Windows следующие файлы:

  • %System%\comdlg64.dll (4925 байт; детектируется Антивирусом Касперского, как Rootkit.Win32.Agent.bk )
  • %System%\sysvx.exe (6028 байт; детектируется Антивирусом Касперского, как Email-Worm.Win32.Locksky.aj )

name="doc3">Деструктивная активность

После запуска программа вызывает функцию «hide__» из созданной ей библиотеки comdlg64.dll. В результате троянец перехватывает несколько функций операционной системы. Программа скрывает из списка процессов процессы, в имени exe-файла которых присутствуют строки «sysv», а также значения реестра, имена которых содержат строку «sysv». В результате значение реестра, отвечающее за автозагрузку программы не видно в редакторе реестра, а процессы, соответствующие вредоносной программе становятся не видны в диспетчере задач.

Созданный файл sysvx.exe запускается с параметром командной строки — случайным числом, большим 2000. Данное число является номером TCP-порта, прослушиваемого программой.

Во время выполнения троянец ждёт подключения к интернету. После подключения программа периодически выполняет следующие действия:

  • выполняет HTTP-запрос к URL, в параметрах которого передаёт следующие данные:
    • уникальный идентификатор компьютера;
    • его IP адрес;
    • скорость интернета;
    • параметры соединения с Интернетом (через модем, локальную сеть, Proxy и т.п.);
    • номер порта, на котором программа sysvx.exe ожидает соединения.
  • во время выполнения периодически проверяет наличие в интернете своих обновлений. Если таковые имеются, они загружаются во временный каталог (%Temp%) в файлы со случайными именами и запускаются.

С URL http://**.255.117.157/synctl/loader.pl троянец получает адрес (URL), с которого загружается другая программа и запускается. Программа сохраняется во временном каталоге (%Temp%) с произвольным именем. Также троянец получает с URL http://**.255.117.157/synctl/upd/ddos.txt файл, в котором находится адрес (URL), к которому через каждые 7 секунд производится 15 запросов подряд.Таким образом при помощи данного троянца возможно производить DoS-атаки.

Действия, выполняемые файлом sysvx.exe

Если программа запущена без параметров, её выполнение завершается. Иначе программа слушает TCP-порт, номер которого указан в параметрах командной строки. После того, как соединение на этом порту установлено, программа получает по нему имя или IP-адрес компьютера, с которым требуется установить соединение, и начинает работать как proxy-сервер между этими двумя компьютерами. Поддерживаются протоколы IP, TCP, UDP.

Ищем темную материю и подписчиков!

Одно найти легче, чем другое. Спойлер: это не темная материя

Станьте частью научной Вселенной — подпишитесь