Троянская программа, выполняющая деструктивные действия на компьютере пользователя. Является приложением Windows (PE-EXE файл). Имеет размер 60720 байт.
Троянская программа, выполняющая деструктивные действия на компьютере пользователя. Является приложением Windows (PE-EXE файл). Имеет размер 60720 байт. Упакована Petite. Распакованный размер – около 143 КБ. Написана на C++.
После запуска троянец выполняет следующие действия:
%System%\update.reg(6344 байта; детектируется Антивирусом Касперского как "Trojan.Win32.StartPage.acxl")
/s %System%\update.regПри этом из извлеченного файла в системный реестр импортируется следующая информация:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\
HideDesktopIcons\ClassicStartMenu]
"{871C5380-42A0-1069-A2EA-08002B30309D}" = "1"
[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\
HideDesktopIcons\NewStartPanel]
"{871C5380-42A0-1069-A2EA-08002B30309D}" = "1"
[HKCR\CLSID\{86AEFBE8-763F-0647-899C-A93278894599}]
"@" = "Internet Explorer"
[HKCR\CLSID\{86AEFBE8-763F-0647-899C-A93278894599}
\DefaultIcon]
"@" = "C:\\Program Files\\Internet Explorer\\iexplore.exe"
[HKCR\CLSID\{86AEFBE8-763F-0647-899C-A93278894599}\Shell]
"@" = ""
[HKCR\CLSID\{86AEFBE8-763F-0647-899C-A93278894599}\Shell\D]
"@" = "??(&D)"
[HKCR\CLSID\{86AEFBE8-763F-0647-899C-A93278894599}\Shell\
D\Command]
"@" = "Rundll32.exe Shell32.dll,Control_RunDLL Inetcpl.cpl"
[HKCR\CLSID\{86AEFBE8-763F-0647-899C-A93278894599}\Shell\
Open]
"@" = "????"
[HKCR\CLSID\{86AEFBE8-763F-0647-899C-A93278894599}\Shell\
Open\Command]
"@" = "C:\\Program Files\\Internet Explorer\\iexplore.exe
http://www.9***4.com/?100021"
[HKCR\CLSID\{86AEFBE8-763F-0647-899C-A93278894599}\Shell\??]
"@" = "??"
[HKCR\CLSID\{86AEFBE8-763F-0647-899C-A93278894599}\Shell\??\
Command]
"@" = "Rundll32.exe Shell32.dll,Control_RunDLL Inetcpl.cpl"
[HKCR\CLSID\{86AEFBE8-763F-0647-899C-A93278894599}\ShellFolder]
"@" = ""
"Attributes" = "0000000a"
[HKLM\Software\Classes\CLSID\{86AEFBE8-763F-0647-899C-
A93278894599}]
"@" = "Internet Explorer"
[HKLM\Software\Classes\CLSID\{86AEFBE8-763F-0647-899C-
A93278894599}\DefaultIcon]
"@" = "C:\\Program Files\\Internet Explorer\\iexplore.exe"
[HKLM\Software\Classes\CLSID\{86AEFBE8-763F-0647-899C-
A93278894599}\Shell]
"@" = ""
[HKLM\Software\Classes\CLSID\{86AEFBE8-763F-0647-899C-
A93278894599}\Shell\D]
"@" = "??(&D)"
[HKLM\Software\Classes\CLSID\{86AEFBE8-763F-0647-899C-
A93278894599}\Shell\D\Command]
"@" = "Rundll32.exe Shell32.dll,Control_RunDLL Inetcpl.cpl"
[HKLM\Software\Classes\CLSID\{86AEFBE8-763F-0647-899C-
A93278894599}\Shell\Open]
"@" = "????"
[HKLM\Software\Classes\CLSID\{86AEFBE8-763F-0647-899C-
A93278894599}\Shell\Open\Command]
"@" = "C:\\Program Files\\Internet Explorer\\iexplore.exe
http://www.9***4.com/?100021"
[HKLM\Software\Classes\CLSID\{86AEFBE8-763F-0647-899C-
A93278894599}\Shell\??]
"@" = "??"
[HKLM\Software\Classes\CLSID\{86AEFBE8-763F-0647-899C-
A93278894599}\Shell\??\Command]
"@" = "Rundll32.exe Shell32.dll,Control_RunDLL Inetcpl.cpl"
[HKLM\Software\Classes\CLSID\{86AEFBE8-763F-0647-899C-
A93278894599}\ShellFolder]
"@" = ""
"Attributes" = "0000000a"
[HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\
Desktop\NameSpace]
"@" = ""
[HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\
Desktop\NameSpace\{86AEFBE8-763F-0647-899C-A93278894599}]
"@" = "Ineter Iexplorer.exe"
%System%\update.reg
conime.exeисполняемый код, выполняющий следующие действия (размер дампа кода – 122880 байт; детектируется Антивирусом Касперского как "Trojan-Spy.Win32.BHO.lt"):
wscntfy.exe
mspaint.exe
%System%\winldr.atd (0 байт)
%System%\sysdrvd.cio (0 байт)
jj
%System%\baidu32.dll
%System%\baidu32.dll(69632 байта; детектируется Антивирусом Касперского как "Trojan.Win32.BHO.aihe")
[HKCR\IEHlprObj.IEHlprObj.1]
"(Default)" = "IEHlprObj Class"
[HKCR\IEHlprObj.IEHlprObj.1\CLSID]
"(Default)" = "{CE7C3CF0-4B15-11D1-ABED-709549C10000}"
[HKCR\IEHlprObj.IEHlprObj]
"(Default)" = "IEHlprObj Class"
[HKCR\IEHlprObj.IEHlprObj\CurVer]
"(Default)" = "IEHlprObj.IEHlprObj.1"
[HKCR\CLSID\{CE7C3CF0-4B15-11D1-ABED-709549C10000}]
"(Default)" = "IEHlprObj Class"
[HKCR\CLSID\{CE7C3CF0-4B15-11D1-ABED-709549C10000}\
ProgID]
"(Default)" = "IEHlprObj.IEHlprObj.1"
[HKCR\CLSID\{CE7C3CF0-4B15-11D1-ABED-709549C10000}
\VersionIndependentProgID]
"(Default)" = "IEHlprObj.IEHlprObj"
[HKCR\CLSID\{CE7C3CF0-4B15-11D1-ABED-709549C10000}\
InprocServer32]
"(Default)" = "%System%\baidu32.dll"
"ThreadingModel" = "Apartment"
[HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\
Browser Helper Objects\{CE7C3CF0-4B15-11D1-ABED-709549C10000}]
[HKCR\TypeLib\{CE7C3CE2-4B15-11D1-ABED-709549C10000}\1.0]
"(Default)" = "IEHelper 1.0 Type Library"
[HKCR\TypeLib\{CE7C3CE2-4B15-11D1-ABED-709549C10000}\1.0\FLAGS]
"(Default)" = "0"
[HKCR\TypeLib\{CE7C3CE2-4B15-11D1-ABED-709549C10000}\1.0\0\win32]
"(Default)" = "%System%\baidu32.dll"
[HKCR\TypeLib\{CE7C3CE2-4B15-11D1-ABED-709549C10000}\1.0\HELPDIR]
"(Default)" = "%System%"
[HKCR\Interface\{CE7C3CEF-4B15-11D1-ABED-709549C10000}]
"(Default)" = "IIEHlprObj"
[HKCR\Interface\{CE7C3CEF-4B15-11D1-ABED-709549C10000}\
ProxyStubClsid]
"(Default)" = "{00020424-0000-0000-C000-000000000046}"
[HKCR\Interface\{CE7C3CEF-4B15-11D1-ABED-709549C10000}\
ProxyStubClsid32]
"(Default)" = "{00020424-0000-0000-C000-000000000046}"
[HKCR\Interface\{CE7C3CEF-4B15-11D1-ABED-709549C10000}\
TypeLib]
"(Default)" = "{CE7C3CE2-4B15-11D1-ABED-709549C10000}"
"Version" = "1.0"
update.9***4.comЕсли соединение успешно установлено, троянец переходит в цикл обработки команд. По команде злоумышленника могут выполняться такие действия как
и реализует функционал, позволяющий отслеживать адреса посещаемых пользователем страниц, а также данные, вводимые пользователем в различные формы авторизации. Собранная информация отправляется на сервера:
www.g***00.com
www.cp***yj.com
www.9***4.com
В Матрице безопасности выбор очевиден