Security Lab

Trojan-Downloader.BAT.wGet.k

Trojan-Downloader.BAT.wGet.k

Троянская программа, загружающая файлы из сети Интернет без ведома пользователя. Является пакетным файлом командного интерпретатора (BAT-файл).

Технические детали

Троянская программа, загружающая файлы из сети Интернет без ведома пользователя. Является пакетным файлом командного интерпретатора (BAT-файл). Имеет размер 2740 байт.

MD5: 2bf5741ce34de5fedf72920da62c152b

SHA1: 03e18b3ea3c6cf502770d12e42420d17b6d60fd9


Деструктивная активность

Троянец при помощи утилиты «wget» загружает из сети Интернет файл по следующей ссылке:

http://*******.ly/ezooCi

На момент создания описания ссылка не работала.

Скачанный файл троянец копирует под следующими именами:

c:\WINDOWS\system32\drivers\etc\hosts  d:\WINDOWS\system32\drivers\etc\hosts

Таким образом, троянец заменяет системные файл «hosts» в случае если операционная система установлена на одном из указанных дисков.

Далее троянец открывает в браузере, установленном по умолчанию, следующую ссылку:

http://pow****-host.com/3/index.php

На момент создания описания ссылка не работала.

Также троянец устанавливает атрибуты «скрытый» («hidden») для следующих файлов, если такие присутствуют в рабочем каталоге троянца:

%WorkDir%\crypter.exe  %WorkDir%\EmotionCard.exe

После этого троянец запускает файл «%WorkDir%\crypter.exe» и завершает свою работу.


Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

  1. Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
  2. Изменить модифицированный файл «%System%\drivers\etc\hosts», используя любое стандартное приложение (например, «Блокнот» — «Notepad»). Требуется удалить все добавленные троянцем строки. Оригинальный файл hosts выглядит следующим образом:
    # (C) Корпорация Майкрософт (Microsoft Corp.), 1993-1999  #  # Это образец файла HOSTS, используемый Microsoft TCP/IP для Windows.  #  # Этот файл содержит сопоставления IP-адресов именам узлов.  # Каждый элемент должен располагаться в отдельной строке. IP-адрес должен  # находиться в первом столбце, за ним должно следовать соответствующее имя.  # IP-адрес и имя узла должны разделяться хотя бы одним пробелом.  #  # Кроме того, в некоторых строках могут быть вставлены комментарии   # (такие, как эта строка), они должны следовать за именем узла и отделяться  # от него символом '#'.  #  # Например:  #  #      102.54.94.97     rhino.acme.com          # исходный сервер  #       38.25.63.10     x.acme.com              # узел клиента x    127.0.0.1       localhost

Ищем баги вместе! Но не те, что в продакшене...

Разбираем кейсы, делимся опытом, учимся на чужих ошибках

Зафиксируйте уязвимость своих знаний — подпишитесь!