Вредоносная программа, предоставляющая злоумышленнику удаленный доступ к зараженному компьютеру, использует для распространения каталоги обмена файлами P2P-сетей.
Вредоносная программа, предоставляющая злоумышленнику удаленный доступ к зараженному компьютеру, использует для распространения каталоги обмена файлами P2P-сетей. Является приложением Windows (PE-EXE файл). Имеет размер 104448 байт. Упакована неизвестным упаковщиком. Распакованный размер - около 108 КБ. Написана на C++.
Создает копию своего файла в следующем каталоге
%AppData%\iptyr.exe
Данному файлу устанавливает атрибут "скрытый".
Для автоматического запуска при каждом следующем старте системы троянец добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:
[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "Taskman" = "%AppData%\iptyr.exe"
Для имитации легитимности файл троянца содержит ложную информацию о файле:
Троянец выполняет внедрение вредоносного кода в процесс с именем "explorer.exe" после чего завершает свое выполнение.
Вредоносный код, внедренный в процесс выполняет следующие действия:
<X>:\dupler\kromirani.exeГде <X> - буква сетевого или съемного диска. При этом каталогу с копией червя устанавливает атрибут "скрытый". Также помещает в корень диска сопровождающий файл:
<X>:\autorun.infкоторый запускает исполняемый файл копии червя, каждый раз, когда пользователь открывает зараженный раздел при помощи программы "Проводник".
[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "Taskman" = "%AppData%\iptyr.exe"
prc***aonica.com kre***potice.ru som***sting.net 84.***.194
Червь способен по команде злоумышленника осуществлять загрузку файлов на зараженный компьютер. Загруженные файлы сохраняются во временном каталоге пользователя под случайными именем:
%Temp%\<rnd2>.exe
Где <rnd2> - случайное число.
Имеет возможность сохранять загруженные файлы с именами "Crack.exe" и "Keygen.exe" в каталоги обмена файлами P2P-сетей, которые расположены на локальной машине, а также в каталог:
%ALLUSERSPROFILE%\Local Settings\Application Data\Ares\My Shared Folder
каталоги обмена файлами P2P-сетей получает, анализируя параметры ключей системного реестра:
[HKCU\Software\BearShare\General] [HKCU\Software\iMesh\General] [HKCU\Software\Shareaza\Shareaza\Downloads] [HKCU\Software\Kazaa\LocalContent] [HKCU\Software\DC++] [HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\eMule Plus_is1]
По команде злоумышленника также возможна подмена файла "hosts":
%System%\etc\hosts
Также имеет возможность осуществлять DoS-атаку на указанный злоумышленником сервер.
На момент создания описания троянец загружал свои обновленные версии по следующему URL:
http://188.***.244/bojim/529.exe
Mozilla Firefox Internet Explorer Opera
Собираем и анализируем опыт профессионалов ИБ