Trojan-Ransom.Win32. PornoBlocker.cop

Троянская программа, которая выполняет деструктивные действия на компьютере пользователя. Является приложением Windows (PE-EXE файл). Имеет размер 74752 байт. Упакована при помощи UPX. Распакованный размер – около 109 КБ. Написана на C++.

Инсталляция

После запуска троянец копирует свое тело со следующими именами:

%Documents and Settings%\%Current User%\wuaucldt.exe
%System%\wuaucldt.exe

Для автоматического запуска при каждом следующем старте системы троянец добавляет ссылки на свои исполняемые файлы в ключи автозапуска системного реестра:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"wuaucldt"="%Documents and Settings%\%Current User%\
wuaucldt.exe"

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"wuaucldt"="%System%\wuaucldt.exe"

name="doc3">

Деструктивная активность

После создания копий своего исполняемого файла, вредонос, используя командную строку, удаляет свой оригинальный файл. Затем создает два именованных канала с именами:

\\.\pipe\firstmega1
\\.\pipe\secondmega2

После этого извлекает из своего тела файл, который сохраняет в каталоге хранения временных файлов текущего пользователя под именем:

%Temp%\NS<rnd>.tmp

где rnd – случайная цифробуквенная последовательность, например, "AB" или "A8". Данный файл имеет размер 38056 байт и детектируется антивирусом Касперского как Trojan-Dropper.Win32.Agent.dnvu. Далее троянец запускает вредоносный файл на выполнение. Извлеченный файл в свою очередь извлекает из своего тела вредоносный драйвер, который сохраняется под именами:

%Temp%\cdfss
%System%\drivers\wcscd.sys

Данный файл имеет размер 30560 байт и детектируется антивирусом Касперского как Rootkit.Win32.Agent.bkwm. После этого троянец устанавливает в системе вредоносный драйвер под видом служб с именами "cdfss" и "wcscd". При этом в системном реестре создаются следующие ключи:

[HKLM\System\CurrentControlSet\Services\cdfss]
"Type"=dword:00000001
"Start"=dword:00000001
"ImagePath"="%Temp%\cdfss"

"ProcessId"=dword:00000e48

[HKLM\System\CurrentControlSet\Services\cdfss\Enum]
"0"="Root\\LEGACY_CDFSS\\0000"
"Count"=dword:00000001
"NextInstance"=dword:00000001

[HKLM\System\CurrentControlSet\Services\wcscd]
"Type"=dword:00000001
"Start"=dword:00000001
"ImagePath"="%System%\drivers\wcscd.sys"

Используя данный драйвер троянец выполняет внедрение своего вредоносного кода в адресные пространства следующих процессов:

wuaucldt.exe
services.exe
svchost.exe
explorer.exe

Для контроля уникальности своего процесса в системе троянец создает уникальные идентификаторы с именами "scmservice_mutex", "MsSyncronizationManager", "MsArbiterManager". Противодействует завершению своего процесса "wuaucldt.exe", а также удалению параметров в ключах автозапуска системного реестра:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"wuaucldt"="%Documents and Settings%\%Current User%\
wuaucldt.exe"

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"wuaucldt"="%System%\wuaucldt.exe"

Устанавливает соединение со следующими хостами:

64.***.168:443
208.***.34:443
208.***.35:443
208.***.36:443
69.***.190:443
69.***.191:443
69.***.192:443
bla***ntom.com:443
ch***rash.com:443
ns***mer.com:443
n***amer.com:443
ang***uest.com:443
212.***.11:443

Далее на сервер злоумышленника отправляется GET-запрос на сервер

xx***Xx.com

после чего вредонос переходит в цикл ожидания команд. По команде злоумышленника троянец может рассылать спам, загружать на компьютер пользователя файлы, запускать процессы. Загруженные файлы сохраняются в каталоге хранения временных файлов пользователя как

%Temp%\nvhg0.tmp

Рассылка спам сообщений

Вредонос может осуществлять рассылку спам сообщений со следующих почтовых адресов:

c53***29.hinet.net
9f00a8***ehk.com
anar***mail.co.kr
w486***21.hinet.net
a75151***21.hinet.net
h086***s29.hinet.net
aserej***gs.ru
aminulf***ngone.co.kr
aher***mo.com.tw
k149***21.hinet.net
2e53c***inamobile.com
nancyh***ac.com
5fb4***a.biglobe.ne.jp
huffe***cite.com
celenemo***rland-group.com
andreethegi***tmail.com
myle***glefs.com.au
ezzie***w.net
re_sco***tusnet.com.au
price***ox.com

на почтовые адреса

jbish***cpa.com
jbar***achers21.org
jbis***tlan.org
jbish***orthoclinic.com
jbish***rossroadscenter.com
jbar***ral-net.com
jbirch***dland-mi.org
fandda***ci.net
fand***ci.net
jbreo***sd.k12.ms.us
jb***waiianisp.com
jbey***packersfan.com
jbra***acau.ctm.net
fand***ci.net
jblas***one.net
jbarthel***m.net
jb***net.net
jb***emountain.com
fand***i.net

Рассылаемые сообщения имеют следующий вид: