Троянская программа. Является приложением Windows (PE EXE-файл).
Инсталляция
После запуска троянец создает в системном каталоге Windows каталог с именем "DETER177" и копирует в него свое тело под именами "lsass.exe", "smss.exe" и "svсhоst.exe":
%System%\DETER177\lsass.exe
%System%\DETER177\smss.exe
%System%\DETER177\svсhоst.exe
После этого меняет атрибуты каталога и созданных файлов на "скрытые" и "системные".
Кроме того, копирует свое тело в системный каталог Windows под именами "ctfmon" и "АHTОMSYS19.exe":
%System%\ctfmon.exe
%System%\АHTОMSYS19.exe
Следует обратить внимание, что некоторые буквы в названиях этих файлов указаны в русской кодировке.
Для автоматического запуска при каждом следующем старте системы троянец добавляет ссылку на свой исполняемый файл в ключи системного реестра:
[HKLM\Software\Microsoft\CurrentVersion\Run]
"ctfmon" = "%System%\ctfmon.exe"
"lsass" = "%System%\DETER177\lsass.exe"
[HKLM\Software\Microsoft\CurrentVersion\Winlogon]
"Shell" = "Explorer.exe %System%\АHTОMSYS19.exe"
Для введения пользователя в заблуждение файл троянца имеет иконку обычного каталога Windows.
Деструктивная активность
Троянец отключает показ скрытых файлов для приложения Explorer.exe, устанавливая следующие параметры ключа системного реестра:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"Hidden" = "0"
"ShowSuperHidden" = "0"
Так же отключает показ расширений файлов для приложения Explorer.exe, устанавливая следующий параметр ключа системного реестра:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"HideFileExt" = "1"
Для предотвращения возможности восстановить эти параметры штатными средствами троянец отключает пункт меню "Свойства папки" для приложения Explorer.exe, устанавливая следующий параметр ключа системного реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoFolderOptions" = "1"
После чего троянец создает в системном каталоге Windows скрытый файл "рsаdоr18.dll":
%System%\рsаdоr18.dll
В этот файл троянец помещает следующие адреса электронной почты:
ot01_***@mail.ru
ot02_***@mail.ru
Также троянец извлекает из своего тела руткит "рsagоr18.sys". Данный файл помещается в рабочий каталог троянца. В данном рутките содержатся функции для скрытия файлов "рsаdоr18.dll" и "АHTОMSYS19.exe", а так же предоставление троянцу наивысшего приоритета в системе, что делает невозможным удаление троянских файлов и завершение троянских процессов.
При завершении работы системы данный файл удаляется, после чего создается снова при перезагрузке.
Во время работы троянец отслеживает появление в системе окон со следующими заголовками:
NOD32 2.5 Control Center
Сканер NOD32 по требованию - [Профиль центра управления - Локально]
Сканер NOD32 по требованию - [Профиль контекстного меню]
NOD32 - Предупреждение
Пpeдупpeждeниe Редактор конфиг
урации NOD32 - [Untitled]
Антивирус Касперского Personal
0- выполняется проверка...
Карантин
Настройка обновления
Настройка карантина и резервного хранилища
Выберите файл для отправки на исследование
AVP.MessageDialog
AVP.MainWindow
AVP.Product_Notification
AVP.SettingsWindow
AVP.ReportWindow
Agnitum Outpost Firewall - configuration.cfg
Настройка системы
Редактор реестра
RegEdit_RegEdit
В случае обнаружения такие окна будут закрываться автоматически.
Также троянец отслеживает появление в системе флеш-устройств. В случае обнаружения троянец копирует туда свое тело под именем "CDburn.exe" и создает файл "autorun.inf" со ссылкой на свое тело. Таким образом, файл троянца будет автоматически запущен при каждом следующем подключении данного устройства.
Также троянец собирает на зараженном компьютере адреса электронной почты и рассылает на них письмо без темы следующего содержания:
Я незнаю ее там помоему небыло(((... вот, посмотри http://softclub.land.ru/seeing/katie.rar
Гравитация научных фактов сильнее, чем вы думаете