Security Lab

Trojan-Downloader.Win32. Small.cdk

Trojan-Downloader.Win32. Small.cdk

Троянская программа, осуществляющая без ведома пользователя загрузку и установку на компью-тер-жертву новых версий вредоносных программ.

Троянская программа, осуществляющая без ведома пользователя загрузку и установку на компью-тер-жертву новых версий вредоносных программ.

Является приложением Windows (PE EXE-файл). Имеет размер около 6 КБ. Упакована при помощи NsPack, размер распакованного файла — около 32 КБ.

Программа написана на Visual C++.

Деструктивная активность

После запуска троянец создает ключ для определения своего повторного запуска:

[HKCU\Software\Microsoft\Windows\CurrentVersion]
"adv470"="adv470"

(В различных версиях данного троянца цифры в созданном параметре могут варьироваться).

Троянец следит за деятельностью файрволов в системе (Agnitum Outpost, ZoneAlarm, стандартный файрвол Windows XP SP2), автоматически разрешая себе неограниченный доступ к интернету (путем поиска окон, запрашивающих защитные действия у пользователя, и установки разрешающих пра-вил).

Например, троянец ищет окна Agnitum Outpost со следующими заголовками:

Create rule for <имя текущего файла>
Warning: Components Have Changed
Hidden Process Requests Network Access

И ставит галочки «Allow all activities for this application» и жмет в них кнопки «ОК».

Также троянец скачивает и запускает на исполнение на локальном компьютере следующие файлы (на момент создания описания, приведенные ссылки не работали):

    * http://iframeurl.biz/***/dl.php?adv=adv470 — сохраняет как %Windir%\uniq;
* http://iframeurl.biz/***/kl.txt — сохраняет как %Windir%\kl.exe;
* http://iframeurl.biz/***/tool2.txt — сохраняет как %Windir%\tool2.exe;
* http://iframeurl.biz/***/country.php — сохраняет как %Windir%\country.exe;
* http://iframeurl.biz/***/secure32.php — сохраняет как %Windir%\secure32.html;
* http://iframeurl.biz/***/paytime.txt — сохраняет как %System%\paytime.exe;
* http://iframeurl.biz/***/hosts.txt — сохраняет как %Windir%\hosts;
* http://iframeurl.biz/***/dluniq..... — сохраняет как %Windir%\uniq.

На итальянских локализациях операционных систем троянец скачивает следующий файл:

    * http://iframeurl.biz/***/it.txt — сохраняет как %Windir%\countrydial.exe и запускает на исполне-ние.

На не итальянских локализациях операционных систем троянец скачивает и запускает на исполне-ние следующие файлы:

    * http://iframeurl.biz/***/tool1.txt — сохраняет как %Windir%\tool1.exe;
* http://iframeurl.biz/***/tool3.txt — сохраняет как %Windir%\tool3.exe;
* http://iframeurl.biz/***/tool4.txt — сохраняет как %Windir%\tool4.exe;
* http://iframeurl.biz/***/tool5.txt — сохраняет как %Windir%\tool5.exe;
* http://iframeurl.biz/***/ms1.php — сохраняет как %Windir%\ms1.exe.

Ищем баги вместе! Но не те, что в продакшене...

Разбираем кейсы, делимся опытом, учимся на чужих ошибках

Зафиксируйте уязвимость своих знаний — подпишитесь!