Security Lab

Trojan-Dropper.Win32. Flystud.yo

Trojan-Dropper.Win32. Flystud.yo

Червь, создающий свои копии на локальных и доступных для записи съемных дисках. Является приложением Windows (PE-EXE файл)

Червь, создающий свои копии на локальных и доступных для записи съемных дисках. Является приложением Windows (PE-EXE файл). Имеет размер 1405887 байт. Написан на C++.

Инсталляция

После запуска червь выполняет следующие действия:

  • создает каталог: 
    %System%\372109
    Каталог создается с атрибутом "скрытый" (hidden).
  • Копирует свое тело в следующий файл: 
    %System%\372109\C00285.EXE
    Копия создается с атрибутом "скрытый" (hidden).
  • Запускает на выполнение созданную копию.

Распространение

Червь копирует свое тело на все доступные для записи съемные диски, подключаемые к зараженному компьютеру. При этом для всех каталогов, расположенных в корне съемного диска, устанавливается атрибут "скрытый" (hidden). На зараженном съемном диске создается столько копий червя, сколько каталогов найдено в его корне. Имена создаваемых копий и найденных каталогов совпадают. Кроме того, червь создает на зараженном съемном диске копию с именем: 

Recycle.exe
Файл "Recycle.exe" создается с атрибутом "скрытый" (hidden).

Червь создает на зараженном съемном диске файл: 

<имя зараженного съемного диска>:\autorun.inf
следующего содержания: 
[AutoRun]
open=Recycle.exe
shell\1=+?¬к(&O)
shell\1\Command=Recycle.exe
shell\2\=фпLL(&B)
shell\2\Command=Recycle.exe
shellexecute=Recycle.exe
Таким образом, копия червя будет запускаться каждый раз, когда пользователь открывает зараженный съемный диск при помощи программы "Проводник".
name="doc3">

Деструктивная активность

После запуска червь выполняет следующие действия:

  • создает каталоги: 
    %Temp%\E_N4
    %System%\499E86
    %System%\2B4FA4
    %System%\A9C3FF
    Каталоги создаются с атрибутом "скрытый" (hidden).
  • Извлекает из своего тела файлы, которые сохраняются в системе под следующими именами: 
    %Temp%\E_N4\spec.fne (73728 байт)
    %Temp%\E_N4\shell.fne (40960 байт)
    %Temp%\E_N4\krnln.fnr (1101824 байта)
    %Temp%\E_N4\internet.fne (184320 байт)
    %Temp%\E_N4\HtmlView.fne (217088 байт)
    %Temp%\E_N4\eAPI.fne (323584 байта)
    %Temp%\E_N4\dp1.fne (114688 байт)
    %Temp%\E_N4\cnvpe.fne (61440 байт)
    %System%\499E86\spec.fne (73728 байт)
    %System%\499E86\shell.fne (40960 байт)
    %System%\499E86\RegEx.fnr (217088 байт)
    %System%\499E86\krnln.fnr (1101824 байта)
    %System%\499E86\internet.fne (184320 байт)
    %System%\499E86\HtmlView.fne (217088 байт)
    %System%\499E86\eAPI.fne (323584 байта)
    %System%\499E86\dp1.fne (114688 байт)
    %System%\499E86\cnvpe.fne (61440 байт)
    Для всех файлов из каталога "%System%\499E86" устанавливается атрибут "скрытый" (hidden).
  • Для автоматического запуска троянца при каждом следующем входе пользователя в систему создается следующий ярлык: 
    %USERPROFILE%\Start Menu\Programs\Startup\C00285.lnk

Ищем баги вместе! Но не те, что в продакшене...

Разбираем кейсы, делимся опытом, учимся на чужих ошибках

Зафиксируйте уязвимость своих знаний — подпишитесь!