Security Lab

Trojan-Downloader.Win32. Wintrim.q

Trojan-Downloader.Win32. Wintrim.q

Троянская программа-загрузчик, которая скачивает из интернета программное обеспечение и устанавливает его без ведома пользователя.

Троянская программа-загрузчик, которая скачивает из интернета программное обеспечение и устанавливает его без ведома пользователя.

Программа является библиотекой Windows DLL. Написана на С++. Размер зараженных файлов варьируется.

Также троянская программа осуществляет дозвон к интернету.

Инсталляция

Инсталляция программы происходит при регистрации OLE-класса из троянской библиотеки. При этом в системе регистрируется класс с именем IEDial Class и создаются следующие ключи реестра:

[HKCR\CLSID\{1D2DCA0D-B30F-40AD-9690-087105F214EC}]
[HKCR\IEAccess2.IEDial.1]
[HKCR\IEAccess2.IEDial]
[HKCR\Interface\{3CD945A2-E413-4956-B9D8-A67FB6A7CB66}] [HKCR\TypeLib\
{9D6ADDBF-8227-4D36-AE46-116AFBDAFCA0}]

Деструктивная активность

После запуска троянец производит дозвон к интернету, используя модемное соединение с именем minidialer.

Также троянец выполняет следующие действия:

* прекращает свою активность, если обнаруживает запущенным один из следующих процессов:

      AGENTW.EXE
BLACKICE.EXE
PERSFW.EXE
SMC.EXE
SYMPROXYSVC.EXE
WINTRIM.EXE
WINTRIMS.EXE
ZONEALARM.EXE
* в корне диска, на котором находится файл троянца (%Disk%), создает файл с
именем tmlpcert, размером 6990 байт:
      %Disk%:\tmlpcert
Этот файл содержит настройки системного реестра;
* запускает программу с параметрами:
regedit /s .\tmlpcert
после чего в реестре создается следующий ключ:
[HKCU\Software\Microsoft\SystemCertificates\TrustedPublisher\Certificates\
08F57392034F41A7DA90E1303D44E4381DCD7E7E]
* скачивает из интернета файл, ссылка на который находится в параметре ключа
реестра:
[HKCU\Software\egroup]
"MCUrl"
и сохраняет его в корневом каталоге Windows как %WinDir%\wintrim.exe. После чего
запускает скаченный файл;
* извлекает из своего тела файл (имеет размер 25000 байт):
%WinDir%\iedisco.exe
и запускает его;
* закрывает процесс, которому принадлежит окно с именем класса:
"AOL Frame25"
* скачивает из интернета следующий файл:
http://download.nocreditcard.com/download/Object/***/sysdial.exe
и сохраняет его в корневом каталоге Windows как %WinDir%\sysres.exe. После чего
запускает скаченный файл.

Alert! Зафиксирована утечка экспертных знаний!

Собираем и анализируем опыт профессионалов ИБ

Подключитесь к потоку конфиденциальной информации!