Trojan-Downloader. Win32.Wintrim.v

Троянская программа-загрузчик, скачивающая из интернета программное обеспечение и устанавливающая его без ведома пользователя.

Программа является приложением Windows (PE EXE-файл). Имеет размер 16896 байт. Упакована UPX. Распакованный размер — около 45 КБ. Написана на С++.

Инсталляция

При запуске троянская программа создает папку с именем navpmc в корневом каталоге Windows:

%WinDir%\navpmc

И копирует свое тело в созданную папку со следующими именами:

%WinDir%\navpmc\navpmc.exe
%WinDir%\navpmc\uninstall.exe

Для автоматического запуска при перезагрузке системы троянец добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
 "mslagent"="%WinDir%\navpmc\navpmc.exe"

Также троянец создает следующий ключ реестра:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\navpmc]

Деструктивная активность

Троянец выполняет следующие действия:

      * завершает свою работу, если запущен один из следующих процессов:
  
        AGENTW.EXE BLACKICE.EXE navpmc.exe navpmc_.exe PERSFW.EXE SMC.EXE 
      SYMPROXYSVC.EXE ZONEALARM.EXE
      * создает следующие файлы:
        %WinDir%\navpmc\2_navpmc.dll
        %WinDir%\navpmc\2_info_persist
      * проверяет соединение с сетью интернет, пытаясь открыть ссылку:
        http://sa.secure-firewall.com/TestConnection.htm
      * скачивает файл по одной из следующих ссылок:
        http://***secure-firewall.com/binaries/******vpmc.dll
        http://***fr.egwn.dev/MagicComponent/binaries/******vpmc.dll
  
        и сохраняет как:
        %WinDir%\mslagent\2_navpmc.dll
      * запускает программу со следующими параметрами:
        regsvr32.exe /s %WinDir%\mslagent\2_navpmc.dll

После этого троянец создает экземпляр OLE-объекта из скачанной библиотеки, GUID-класса {D7A82A12-05F5-42D8-B30D-6EF995075D2D}.

Если программа при запуске обнаруживает, что имя ее исполняемого файла — uninstall.exe, то выполняет следующие действия:

    * если в папке %WinDir%\navpmc есть файлы с расширением DLL, троянец запускает 
     следующий процесс для каждого найденного файла с расширением DLL:
      regsvr32.exe /s /u %WinDir%\navpmc\<имя файла DLL>
    * удаляет папку и все находящиеся в ней файлы:
      %WinDir%\navpmc
    * удаляет следующие ключи реестра:
      [HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\navpmc]
      [HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\wintrim]
    * удаляет параметры ключа реестра:
      [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
       "MC"
       "сpntmgc"
       "navpmc"
    * обращается по следующим ссылкам:
      http://mc.fr.egwn.dev/***/MCUninstall.....
      http://sa.secure-firewall.com/***/MCUninstall.....

На момент создания описания вышеперечисленные ссылки не работали.