Троянская программа, выполняющая деструктивные действия на компьютере пользователя. Программа является приложением Windows (PE-EXE файл). Имеет размер 45904 байта.
Троянская программа, выполняющая деструктивные действия на компьютере пользователя. Программа является приложением Windows (PE-EXE файл). Имеет размер 45904 байта. Упакована при помощи UPX. Распакованный размер — около 79 KБ. Написан на C++.
Копирует свое тело в системный каталог Windows или во временный каталог текущего пользователя, если в системный каталог скопировать не удалось:
%System%\ms<rnd>.exeГде <rnd> - произвольная последовательность из цифр и букв латинского алфавита, например, "vgzcjw" или "ngszup".
%Temp%\ms<rnd>.exe
Для автоматического запуска троянец создает в системе службу, которая запускает его исполняемый файл при каждой последующей загрузке Windows, при этом создается следующий ключ реестра:
[HKLM\System\CurrentControlSet\Services\Network Adapter Events]
Троянец выполняет следующие деструктивные действия:
msrdp#v2.1.27
Norton Antivirus Service
Panda Antivirus
Detector de OfficeScanNT
McAfee Framework Service
sharedaccess
OutpostFirewall
lnsfw1
sfilter
SmcService
UmxPol
UmxLU
UmxAgent
UmxCfg
kmxagent
kmxbig
kmxcfg
kmxfile
kmxfw
kmxids
kmxndis
kmxsbx
ZoneAlarm
vsmon
vsdatant
IswSvc
ISWKL
klif
klpf
klpid
kl1
WinDefend
MpsSvc
BFE
F-Secure Filter
F-Secure Gatekeeper
F-Secure HIPS
F-Secure Recognizer
fsbts
FSFW
F-Secure Gatekeeper Handler Starter
FSDFWD
FSMA
FSORSPClient
TermUserИ добавляет пользователя в группы:
Администраторы
Пользователи удаленного рабочего стола
[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\
SpecialAccounts\UserList]"TermUser"= "0"
www.microsoft.com
www.yahoo.com
www.msn.com
POST /query222.php HTTP/1.1 Content-Type: applicationгде <URL> - один из следующих адресов:
/x-www-form-urlencoded Host: <URL> Content-Length:
<длинна поля данных в байтах> Cache-Control: no-cache
q=i&id=<серийный номер тома>-<версия ОС>&o=
< детальная информация об ОС>&v=2.1.27&c=<информация
о локализации>&l=<язык>&t=16&lip=<IP адрес зараженного
компьютера>
&ts=OK&u=<имя пользователя>
znco***ent.infoПо команде троянец может загружать обновления, загружать и выполнять инсталляцию компонентов предназначенных для предоставления доступа к зараженному компьютеру по RDP (удаленный рабочий стол) протоколу. Загружаемые файлы сохраняются во временно каталоге текущего пользователя:
ocrd***tcipty.com
ocrd***tc.info
hvk***emvbim.com
eshtg***jsyfjoqt.info
eshtg-***syf.com
xlam***u-lrychj.info
xlam***u-lr.com
map***-jragnrw.info
map***-jra.com
ftiuh***-tzgk.info
cqfreo***-qwdhmor.com
cqfre***-qwd.info
vjyk***-ajpwafh.com
vjyk***-ajp.info
kynzm***h-yelpu.com
kynzm***h-y.info
drgs***-irxei.com
aodp***-foubfkmp.info
aodp***-foub.com
thw***-qyhnuydf.info
znc***-went.info
%Temp%\tem<rnd1>.tmpгде <rnd1> - произвольная последовательность из цифр и букв латинского алфавита. Если загруженный файл является архивом, содержащим компоненты для установки, то троянец создает каталог и помещает туда извлеченные файлы:
%Temp%\b<rnd2>\где <rnd2> - произвольная последовательность из цифр и букв латинского алфавита. А затем выполняет команду:
%System%\cmd.exe /C %Temp%\b<rnd2>\install.cmdПосле чего через час выполняет перезагрузку зараженного компьютера.
[HKLM\Software\Microsoft\TermServMonitor]
Разбираем кейсы, делимся опытом, учимся на чужих ошибках