Security Lab

Trojan.Win32. StartPage.acxl

Trojan.Win32. StartPage.acxl

Троянская программа, выполняющая деструктивные действия на компьютере пользователя. Является приложением Windows (PE-EXE файл). Имеет размер 60720 байт.

Троянская программа, выполняющая деструктивные действия на компьютере пользователя. Является приложением Windows (PE-EXE файл). Имеет размер 60720 байт. Упакована Petite. Распакованный размер – около 143 КБ. Написана на C++.


name="doc3">

Деструктивная активность

После запуска троянец выполняет следующие действия:

  • извлекает из своего тела файл:
    %System%\update.reg
    (6344 байта; детектируется Антивирусом Касперского как "Trojan.Win32.StartPage.acxl")
  • Запускает редактор системного реестра "regedit.exe" с параметрами:
    /s %System%\update.reg
    При этом из извлеченного файла в системный реестр импортируется следующая информация:
    [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\
    HideDesktopIcons\ClassicStartMenu]
    "{871C5380-42A0-1069-A2EA-08002B30309D}" = "1"

    [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\
    HideDesktopIcons\NewStartPanel]
    "{871C5380-42A0-1069-A2EA-08002B30309D}" = "1"

    [HKCR\CLSID\{86AEFBE8-763F-0647-899C-A93278894599}]
    "@" = "Internet Explorer"

    [HKCR\CLSID\{86AEFBE8-763F-0647-899C-A93278894599}
    \DefaultIcon]
    "@" = "C:\\Program Files\\Internet Explorer\\iexplore.exe"

    [HKCR\CLSID\{86AEFBE8-763F-0647-899C-A93278894599}\Shell]
    "@" = ""

    [HKCR\CLSID\{86AEFBE8-763F-0647-899C-A93278894599}\Shell\D]
    "@" = "??(&D)"

    [HKCR\CLSID\{86AEFBE8-763F-0647-899C-A93278894599}\Shell\
    D\Command]
    "@" = "Rundll32.exe Shell32.dll,Control_RunDLL Inetcpl.cpl"

    [HKCR\CLSID\{86AEFBE8-763F-0647-899C-A93278894599}\Shell\
    Open]
    "@" = "????"

    [HKCR\CLSID\{86AEFBE8-763F-0647-899C-A93278894599}\Shell\
    Open\Command]
    "@" = "C:\\Program Files\\Internet Explorer\\iexplore.exe
    http://www.9***4.com/?100021"

    [HKCR\CLSID\{86AEFBE8-763F-0647-899C-A93278894599}\Shell\??]
    "@" = "??"

    [HKCR\CLSID\{86AEFBE8-763F-0647-899C-A93278894599}\Shell\??\
    Command]
    "@" = "Rundll32.exe Shell32.dll,Control_RunDLL Inetcpl.cpl"

    [HKCR\CLSID\{86AEFBE8-763F-0647-899C-A93278894599}\ShellFolder]
    "@" = ""
    "Attributes" = "0000000a"

    [HKLM\Software\Classes\CLSID\{86AEFBE8-763F-0647-899C-
    A93278894599}]
    "@" = "Internet Explorer"

    [HKLM\Software\Classes\CLSID\{86AEFBE8-763F-0647-899C-
    A93278894599}\DefaultIcon]
    "@" = "C:\\Program Files\\Internet Explorer\\iexplore.exe"

    [HKLM\Software\Classes\CLSID\{86AEFBE8-763F-0647-899C-
    A93278894599}\Shell]
    "@" = ""

    [HKLM\Software\Classes\CLSID\{86AEFBE8-763F-0647-899C-
    A93278894599}\Shell\D]
    "@" = "??(&D)"

    [HKLM\Software\Classes\CLSID\{86AEFBE8-763F-0647-899C-
    A93278894599}\Shell\D\Command]
    "@" = "Rundll32.exe Shell32.dll,Control_RunDLL Inetcpl.cpl"

    [HKLM\Software\Classes\CLSID\{86AEFBE8-763F-0647-899C-
    A93278894599}\Shell\Open]
    "@" = "????"

    [HKLM\Software\Classes\CLSID\{86AEFBE8-763F-0647-899C-
    A93278894599}\Shell\Open\Command]
    "@" = "C:\\Program Files\\Internet Explorer\\iexplore.exe
    http://www.9***4.com/?100021"

    [HKLM\Software\Classes\CLSID\{86AEFBE8-763F-0647-899C-
    A93278894599}\Shell\??]
    "@" = "??"

    [HKLM\Software\Classes\CLSID\{86AEFBE8-763F-0647-899C-
    A93278894599}\Shell\??\Command]
    "@" = "Rundll32.exe Shell32.dll,Control_RunDLL Inetcpl.cpl"

    [HKLM\Software\Classes\CLSID\{86AEFBE8-763F-0647-899C-
    A93278894599}\ShellFolder]
    "@" = ""
    "Attributes" = "0000000a"

    [HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\
    Desktop\NameSpace]
    "@" = ""

    [HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\
    Desktop\NameSpace\{86AEFBE8-763F-0647-899C-A93278894599}]
    "@" = "Ineter Iexplorer.exe"
  • Удаляет файл:
    %System%\update.reg
  • Находит в системе окно с именем класса "SysListView32", и имитирует нажатие клавиши F5 в данном окне.
  • Внедряет в адресное пространство процессов:
    conime.exe
    wscntfy.exe
    mspaint.exe
    исполняемый код, выполняющий следующие действия (размер дампа кода – 122880 байт; детектируется Антивирусом Касперского как "Trojan-Spy.Win32.BHO.lt"):
  • создаются файлы:
    %System%\winldr.atd (0 байт)
    %System%\sysdrvd.cio (0 байт)
  • Для контроля уникальности процесса в системе создается уникальный идентификатор с именем:
    jj
  • Удаляется файл:
    %System%\baidu32.dll
  • Из внедренного кода извлекается файл:
    %System%\baidu32.dll
    (69632 байта; детектируется Антивирусом Касперского как "Trojan.Win32.BHO.aihe")
  • Путем запуска системной утилиты "regsvr32.exe" извлеченная библиотека инсталлируется в систему. При этом создаются следующие ключи системного реестра:
    [HKCR\IEHlprObj.IEHlprObj.1]
    "(Default)" = "IEHlprObj Class"

    [HKCR\IEHlprObj.IEHlprObj.1\CLSID]
    "(Default)" = "{CE7C3CF0-4B15-11D1-ABED-709549C10000}"

    [HKCR\IEHlprObj.IEHlprObj]
    "(Default)" = "IEHlprObj Class"

    [HKCR\IEHlprObj.IEHlprObj\CurVer]
    "(Default)" = "IEHlprObj.IEHlprObj.1"

    [HKCR\CLSID\{CE7C3CF0-4B15-11D1-ABED-709549C10000}]
    "(Default)" = "IEHlprObj Class"

    [HKCR\CLSID\{CE7C3CF0-4B15-11D1-ABED-709549C10000}\
    ProgID]
    "(Default)" = "IEHlprObj.IEHlprObj.1"

    [HKCR\CLSID\{CE7C3CF0-4B15-11D1-ABED-709549C10000}
    \VersionIndependentProgID]
    "(Default)" = "IEHlprObj.IEHlprObj"

    [HKCR\CLSID\{CE7C3CF0-4B15-11D1-ABED-709549C10000}\
    InprocServer32]
    "(Default)" = "%System%\baidu32.dll"
    "ThreadingModel" = "Apartment"

    [HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\
    Browser Helper Objects\{CE7C3CF0-4B15-11D1-ABED-709549C10000}]

    [HKCR\TypeLib\{CE7C3CE2-4B15-11D1-ABED-709549C10000}\1.0]
    "(Default)" = "IEHelper 1.0 Type Library"

    [HKCR\TypeLib\{CE7C3CE2-4B15-11D1-ABED-709549C10000}\1.0\FLAGS]
    "(Default)" = "0"

    [HKCR\TypeLib\{CE7C3CE2-4B15-11D1-ABED-709549C10000}\1.0\0\win32]
    "(Default)" = "%System%\baidu32.dll"

    [HKCR\TypeLib\{CE7C3CE2-4B15-11D1-ABED-709549C10000}\1.0\HELPDIR]
    "(Default)" = "%System%"

    [HKCR\Interface\{CE7C3CEF-4B15-11D1-ABED-709549C10000}]
    "(Default)" = "IIEHlprObj"

    [HKCR\Interface\{CE7C3CEF-4B15-11D1-ABED-709549C10000}\
    ProxyStubClsid]
    "(Default)" = "{00020424-0000-0000-C000-000000000046}"

    [HKCR\Interface\{CE7C3CEF-4B15-11D1-ABED-709549C10000}\
    ProxyStubClsid32]
    "(Default)" = "{00020424-0000-0000-C000-000000000046}"

    [HKCR\Interface\{CE7C3CEF-4B15-11D1-ABED-709549C10000}\
    TypeLib]
    "(Default)" = "{CE7C3CE2-4B15-11D1-ABED-709549C10000}"
    "Version" = "1.0"
  • После паузы в 9 минут производится попытка установки соединения с сервером:
    update.9***4.com
    Если соединение успешно установлено, троянец переходит в цикл обработки команд. По команде злоумышленника могут выполняться такие действия как
    • загрузка и запуск файлов;
    • организация DoS-атак;
    • рассылка спама.
    Библиотека "%System%\baidu32.dll" инсталлируется как плагин для браузера Internet Explorer:

    и реализует функционал, позволяющий отслеживать адреса посещаемых пользователем страниц, а также данные, вводимые пользователем в различные формы авторизации. Собранная информация отправляется на сервера:

    www.g***00.com
    www.cp***yj.com
    www.9***4.com

Красная или синяя таблетка?

В Матрице безопасности выбор очевиден

Выберите реальность — подпишитесь