Security Lab

Trojan-Downloader. Win32.Wintrim.v

Trojan-Downloader. Win32.Wintrim.v

Троянская программа-загрузчик, скачивающая из интернета программное обеспечение и устанавливающая его без ведома пользователя.

Троянская программа-загрузчик, скачивающая из интернета программное обеспечение и устанавливающая его без ведома пользователя.

Программа является приложением Windows (PE EXE-файл). Имеет размер 16896 байт. Упакована UPX. Распакованный размер — около 45 КБ. Написана на С++.

Инсталляция

При запуске троянская программа создает папку с именем navpmc в корневом каталоге Windows:

%WinDir%\navpmc

И копирует свое тело в созданную папку со следующими именами:

%WinDir%\navpmc\navpmc.exe
%WinDir%\navpmc\uninstall.exe

Для автоматического запуска при перезагрузке системы троянец добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"mslagent"="%WinDir%\navpmc\navpmc.exe"

Также троянец создает следующий ключ реестра:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\navpmc]

Деструктивная активность

Троянец выполняет следующие действия:

      * завершает свою работу, если запущен один из следующих процессов:
  
        AGENTW.EXE BLACKICE.EXE navpmc.exe navpmc_.exe PERSFW.EXE SMC.EXE 
SYMPROXYSVC.EXE ZONEALARM.EXE * создает следующие файлы: %WinDir%\navpmc\2_navpmc.dll %WinDir%\navpmc\2_info_persist * проверяет соединение с сетью интернет, пытаясь открыть ссылку: http://sa.secure-firewall.com/TestConnection.htm * скачивает файл по одной из следующих ссылок: http://***secure-firewall.com/binaries/******vpmc.dll http://***fr.egwn.dev/MagicComponent/binaries/******vpmc.dll и сохраняет как: %WinDir%\mslagent\2_navpmc.dll * запускает программу со следующими параметрами: regsvr32.exe /s %WinDir%\mslagent\2_navpmc.dll
После этого троянец создает экземпляр OLE-объекта из скачанной библиотеки, GUID-класса {D7A82A12-05F5-42D8-B30D-6EF995075D2D}.

Если программа при запуске обнаруживает, что имя ее исполняемого файла — uninstall.exe, то выполняет следующие действия:

    * если в папке %WinDir%\navpmc есть файлы с расширением DLL, троянец запускает 
следующий процесс для каждого найденного файла с расширением DLL:
regsvr32.exe /s /u %WinDir%\navpmc\<имя файла DLL>
* удаляет папку и все находящиеся в ней файлы:
%WinDir%\navpmc
* удаляет следующие ключи реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\navpmc]
[HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\wintrim]
* удаляет параметры ключа реестра:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"MC"
"сpntmgc"
"navpmc"
* обращается по следующим ссылкам:
http://mc.fr.egwn.dev/***/MCUninstall.....
http://sa.secure-firewall.com/***/MCUninstall.....

На момент создания описания вышеперечисленные ссылки не работали.

Ищем уязвимости в системе и новых подписчиков!

Первое — находим постоянно, второе — ждем вас

Эксплойтните кнопку подписки прямо сейчас