Троянская программа-загрузчик, скачивающая из интернета программное обеспечение и устанавливающая его без ведома пользователя.
Программа является приложением Windows (PE EXE-файл). Имеет размер 16896 байт. Упакована UPX. Распакованный размер — около 45 КБ. Написана на С++.
Инсталляция
При запуске троянская программа создает папку с именем navpmc в корневом каталоге Windows:
%WinDir%\navpmc
И копирует свое тело в созданную папку со следующими именами:
%WinDir%\navpmc\navpmc.exe
%WinDir%\navpmc\uninstall.exe
Для автоматического запуска при перезагрузке системы троянец добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"mslagent"="%WinDir%\navpmc\navpmc.exe"
Также троянец создает следующий ключ реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\navpmc]
Деструктивная активность
Троянец выполняет следующие действия:
* завершает свою работу, если запущен один из следующих процессов: AGENTW.EXE BLACKICE.EXE navpmc.exe navpmc_.exe PERSFW.EXE SMC.EXEПосле этого троянец создает экземпляр OLE-объекта из скачанной библиотеки, GUID-класса {D7A82A12-05F5-42D8-B30D-6EF995075D2D}.
SYMPROXYSVC.EXE ZONEALARM.EXE * создает следующие файлы: %WinDir%\navpmc\2_navpmc.dll %WinDir%\navpmc\2_info_persist * проверяет соединение с сетью интернет, пытаясь открыть ссылку: http://sa.secure-firewall.com/TestConnection.htm * скачивает файл по одной из следующих ссылок: http://***secure-firewall.com/binaries/******vpmc.dll http://***fr.egwn.dev/MagicComponent/binaries/******vpmc.dll и сохраняет как: %WinDir%\mslagent\2_navpmc.dll * запускает программу со следующими параметрами: regsvr32.exe /s %WinDir%\mslagent\2_navpmc.dll
Если программа при запуске обнаруживает, что имя ее исполняемого файла — uninstall.exe, то выполняет следующие действия:
* если в папке %WinDir%\navpmc есть файлы с расширением DLL, троянец запускает
следующий процесс для каждого найденного файла с расширением DLL:
regsvr32.exe /s /u %WinDir%\navpmc\<имя файла DLL>
* удаляет папку и все находящиеся в ней файлы:
%WinDir%\navpmc
* удаляет следующие ключи реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\navpmc]
[HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\wintrim]
* удаляет параметры ключа реестра:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"MC"
"сpntmgc"
"navpmc"
* обращается по следующим ссылкам:
http://mc.fr.egwn.dev/***/MCUninstall.....
http://sa.secure-firewall.com/***/MCUninstall.....
На момент создания описания вышеперечисленные ссылки не работали.
Первое — находим постоянно, второе — ждем вас