Security Lab

Trojan.Win32. VB.agb

Trojan.Win32. VB.agb

Троянская программа. Является приложением Windows (PE EXE-файл).

Троянская программа. Является приложением Windows (PE EXE-файл). Имеет размер 157184 байта. Упакована при помощи UPX. Распакованный размер — около 466 КБ. Написана на Visual Basic.

Инсталляция

После запуска троянец выполняет проверку наличия файла inz.d в подкаталоге I75-D2 системного каталога Windows:

%System%\I75-D2\inz.d

Если такой файл не найден, то происходит создание папки I75-D2 в системном каталоге Windows и копирование тела троянца в эту папку под именем dkernel.exe:

%System%\I75-D2\dkernel.exe

После этого троянец запускает файл dkernel.exe и завершает свою работу.

Деструктивная активность

После запуска dkernel.exe происходит извлечение вспомогательного файла-модуля lExplorer.exe (размер 28672 байта, написан на Visual Basic 6.0) из ресурсов файла в корневой каталог Windows и его запуск на исполнение:

%Windir%\lExplorer.exe

Далее в каталоге %System%\I75-D2 формируется файл inz.d следующего содержания:

[d2]
start=yes
MyName=decoil daun (d2)
MyPath=%System%\I75-D2\dkernel.exe
ComeAt=Jam %Hour%: %Minutes% --%Date%
Level=Moderate (can cange level of virus)
Tampungan=%System%\I75-D2\dTemp
Author=FM nibO

После этого происходит получение пути к проигрывателю Winamp, путем чтения параметра command из следующего ключа реестра:

[HKCR\Software\Classes\Winamp.File\shell\open]

Далее происходит регистрация автозапуска основного файла троянца и вспомогательного модуля в реестре:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"dKernel"="%System%\I75-D2\dkernel.exe"
"lExplorer"="%Windir%\lExplorer.exe"

А также регистрация автозапуска модуля при начале нового сеанса:

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"="Explorer.exe lExplorer.exe"

При каждой следующей загрузке Windows автоматически запустит файлы троянца.

После этого происходит извлечение миди-файла d2.mix размером 39672 байта.

В процессе работы в главном модуле происходит проверка, запущен ли вспомогательный модуль %Windir%\lExplorer.exe и его запуск, если он не запущен. В свою очередь, во вспомогательном модуле выполняются те же действия относительно главного модуля. Также в главном модуле происходит постоянная проверка наличия значений установленных троянской программой параметров реестра.

Кроме того, троянская программа ожидает появления файла ulfahanis.d в корневом каталоге диска C:. Если этот файл будет найден, то троянец отображает на экране зараженного компьютера следующую анимированную заставку.

И затем завершает работу основного и вспомогательного модулей вируса до очередной перезагрузки системы.

Наш канал защищен лучше, чем ваш компьютер!

Но доступ к знаниям открыт для всех

Получите root-права на безопасность — подпишитесь