Троянская программа, осуществляющая без ведома пользователя загрузку и установку на компью-тер-жертву новых версий вредоносных программ.
Является приложением Windows (PE EXE-файл). Имеет размер около 6 КБ. Упакована при помощи NsPack, размер распакованного файла — около 32 КБ.
Программа написана на Visual C++.
Деструктивная активность
После запуска троянец создает ключ для определения своего повторного запуска:
[HKCU\Software\Microsoft\Windows\CurrentVersion]
"adv470"="adv470"
(В различных версиях данного троянца цифры в созданном параметре могут варьироваться).
Троянец следит за деятельностью файрволов в системе (Agnitum Outpost, ZoneAlarm, стандартный файрвол Windows XP SP2), автоматически разрешая себе неограниченный доступ к интернету (путем поиска окон, запрашивающих защитные действия у пользователя, и установки разрешающих пра-вил).
Например, троянец ищет окна Agnitum Outpost со следующими заголовками:
Create rule for <имя текущего файла>
Warning: Components Have Changed
Hidden Process Requests Network Access
И ставит галочки «Allow all activities for this application» и жмет в них кнопки «ОК».
Также троянец скачивает и запускает на исполнение на локальном компьютере следующие файлы (на момент создания описания, приведенные ссылки не работали):
* http://iframeurl.biz/***/dl.php?adv=adv470 — сохраняет как %Windir%\uniq;
* http://iframeurl.biz/***/kl.txt — сохраняет как %Windir%\kl.exe;
* http://iframeurl.biz/***/tool2.txt — сохраняет как %Windir%\tool2.exe;
* http://iframeurl.biz/***/country.php — сохраняет как %Windir%\country.exe;
* http://iframeurl.biz/***/secure32.php — сохраняет как %Windir%\secure32.html;
* http://iframeurl.biz/***/paytime.txt — сохраняет как %System%\paytime.exe;
* http://iframeurl.biz/***/hosts.txt — сохраняет как %Windir%\hosts;
* http://iframeurl.biz/***/dluniq..... — сохраняет как %Windir%\uniq.
На итальянских локализациях операционных систем троянец скачивает следующий файл:
* http://iframeurl.biz/***/it.txt — сохраняет как %Windir%\countrydial.exe и запускает на исполне-ние.
На не итальянских локализациях операционных систем троянец скачивает и запускает на исполне-ние следующие файлы:
* http://iframeurl.biz/***/tool1.txt — сохраняет как %Windir%\tool1.exe;
* http://iframeurl.biz/***/tool3.txt — сохраняет как %Windir%\tool3.exe;
* http://iframeurl.biz/***/tool4.txt — сохраняет как %Windir%\tool4.exe;
* http://iframeurl.biz/***/tool5.txt — сохраняет как %Windir%\tool5.exe;
* http://iframeurl.biz/***/ms1.php — сохраняет как %Windir%\ms1.exe.
Разбираем кейсы, делимся опытом, учимся на чужих ошибках