Троянская программа, загружающая файлы из сети Интернет без ведома пользователя и запускающая их.
Троянская программа, загружающая файлы из сети Интернет без ведома пользователя и запускающая их. Является приложением Windows (PE-EXE файл). Имеет размер 13824 байта. Упакована UPX. Распакованный размер – около 24 КБ. Написана на C++.
После запуска троянец выполняет следующие действия:
%Program Files%\360rpv.exe
%Program Files%\syslass.cpl
%System%\svcnet32.dll(13312 байт; детектируется Антивирусом Касперского как "Trojan.Win32.Agent.cyzi") Для созданного файла устанавливается дата и время создания/изменения идентичные системному файлу:
%System%\ntdll.dll
%SystemRoot%\system32\svchost -k Avt-Net
[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Svchost]Таким образом, вредоносный код извлеченной ранее библиотеки "svcnet32.dll" будет автоматически запускаться при каждом следующем старте системы.
"Avt-Net" = "Avt-Net"
[HKLM\System\CurrentControlSet\Services\Avt-Net]
"Description" = "Retrieves the serial number of any portable
Sound player connected to this computer. If this service is
stopped, any services that
explicitly depend on it will fail to start."
"DisplayName" = "Portable Sound Serial Number Services"
"ErrorControl" = "0x1"
"Group" = "Com Infrastructure"
"ObjectName" = "LocalSystem"
"Start" = "0x2"
"Type" = "0x10"
"FailureAction" = "00 00 00 00 00 00 00 00 00 00 00 00 01 00 00 00 00
00 00 00 02 00 00 00 60 EA 00 00"
"ImagePath" = "%SystemRoot%\system32\svchost -k Avt-Net"
[HKLM\system\CurrentControlSet\Services\Avt-Net\Parameters]
"ServiceDll" = "%SystemRoot%\system32\svcnet32.dll"
[HKCR\exefile]
"NeverShowExt" = "0x0"
[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\
Advanced]
"Hidden" = "0x2"
"ShowSuperHidden" = "0x0"
[HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\
Advanced\Folder\Hidden\SHOWALL]
"CheckedValue" = "0x1"
/c del <полный путь к оригинальному файлу троянца> > nul
Запуск созданной на этапе инсталляции службы "Avt-Net" приводит к выполнению следующих действий:
%Program Files%\360rpv.exeВ случае удаления, файл восстанавливается с копии:
%Program Files%\syslass.cpl
[HKCR\exefile]
"NeverShowExt" = "0x0"
[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\
Advanced]
"Hidden" = "0x2"
"ShowSuperHidden" = "0x0"
[HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\
Advanced\Folder\Hidden\SHOWALL]
"CheckedValue" = "0x1"
http://me***ager.xicp.net:99/index.txtи сохраняются как
http://www.mi***ryfocus.net:99/index.txt
%Program Files%\Common Files\Plugins\index.txtЗагружаемые файлы содержат списки ссылок для загрузки на зараженный компьютер других вредоносных программ. По считанным ссылкам вредонос загружает файлы, сохраняя их в каталоге хранения временных файлов текущего пользователя "%Temp%" под случайными именами. После успешной загрузки файлы запускаются на выполнение. На момент создания описания обе указанные ссылки не работали. После каждой итерации цикла загрузки, загруженные файлы удаляются из кэша посредством вызова функции "DeleteUrlCacheEntry ".
Собираем и анализируем опыт профессионалов ИБ