Security Lab

Trojan.Win32. Agent.ezqu

Trojan.Win32. Agent.ezqu

Троянская программа, выполняющая деструктивные действия на компьютере пользователя. Является приложением Windows (PE-EXE файл).

Троянская программа, выполняющая деструктивные действия на компьютере пользователя. Является приложением Windows (PE-EXE файл). Имеет размер 48650 байт. Написана на Delphi.

Инсталляция

После запуска троянец перемещает свое тело в файл:

%APPDATA%\download2\svcnost.exe
Для автоматического запуска данного файла при каждом следующем старте системы создается ключ системного реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"download" = "%APPDATA%\download2\svcnost.exe"
Кроме того, созданный файл добавляется в список доверенных приложений брандмауэра Windows путем создания ключа системного реестра:
[HKLM\System\CurrentControlSet\Services\SharedAccess\
Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"%APPDATA%\download2\svcnost.exe" = "%APPDATA%\download2
\svcnost.exe:*:Enabled:ldrsoft"

name="doc3">

Деструктивная активность

После запуска троянец устанавливает соединение с сервером злоумышленника:

ca-pdt.com
и отправляет на данный сервер следующую информацию о системе:
  • имя браузера, установленного в системе по умолчанию. Данный параметр считывается из ключа системного реестра:
    [HKCU\Software\Classes\http\shell\open\command]
    Могут быть отправлены значения:
    IE
    Firefox
    Chrome
    Opera
    Mozila
    Safari
    Other
  • Версию операционной системы:
    WinNT3
    WinNT4
    Win95
    Win98
    WinME
    Win2000
    WinXP
    Win2003
    Win7
    Vista
  • Информацию об установленном на зараженном компьютере антивирусном программном обеспечении. Данная информация отправляется в случае наличия в системе запущенных процессов с именами, содержащими подстроки:
    avp.
    kav.
    nod32krn.
    ekrn.e
    mcshield.
    bdagent
    ofcdog
    srvload.e
    navapsvc.e
    ccsvchst.e
    spidernt.e
    dwengine.e
    winssui.e
    avastui.e
    avastsvc.ex
    avgrsx.e
    avgnt.e
    sched.e
    В соответствии с найденными процессами могут быть отправлены значения:
    KIS
    Nod32
    McAfee
    BitDefender
    TrendMicro
    Panda
    Norton
    OneCare
    Avast
    AVG
    Avira
    После этого троянец в бесконечном цикле осуществляет загрузку файлов с указанного сервера. Загруженные файлы сохраняются в каталоге:
    %APPDATA%\download2
    После успешной загрузки файлы запускаются на выполнение. На момент создания описания сервер не работал. Также в ходе своей работы троянец создает ключ системного реестра:
    [HKCU\Software\Microsoft]
    "idln2" = "<rnd>"
    где <rnd> – случайная последовательность символов (например: "msdgynwcq1vrubzyvdx13iyvs3vgcke").
  • Хакеры ненавидят этот канал!

    Спойлер: мы раскрываем их любимые трюки

    Расстройте их планы — подпишитесь