Security Lab

Trojan.Win32.Agent.eigh

Trojan.Win32.Agent.eigh

Троянская программа, загружающая файлы из сети Интернет без ведома пользователя и запускающая их.

Технические детали

Троянская программа, загружающая файлы из сети Интернет без ведома пользователя и запускающая их. Является приложением Windows (PE-EXE файл). Имеет размер 5632 байта. Написана на C++.

Инсталляция

После запуска троянец копирует свое тело в следующий файл:

C:\Program Files\Common Files\seria.exe

Затем созданная копия запускается на выполнение.

Для удаления своего оригинального файла после завершения его работы троянец создает в каталоге хранения временных файлов текущего пользователя "%Temp%" сценарий командного интерпретатора "Del.bat" следующего содержания:

@ping -n 3 127.0.0.1>nul
@del /F /Q "<полный путь к оригинальному файлу 
троянца>"
@del /F /Q "%Temp%\Del.bat"
@exit

Далее созданный сценарий запускается на выполнение. При этом сам файл сценария также удаляется.

Деструктивная активность

После запуска троянец выполняет следующие действия:

  • для контроля уникальности своего процесса в системе создает уникальные идентификаторы с именами:
mutex_reboot_down
mutex_cpa_.la
  • Перемещает свое тело в каталог Автозагрузка текущего пользователя, что дает троянцу возможность автоматически запускаться при каждом следующем старте системы:
%ALLUSERSPROFILE%\Start Menu\Programs\Startup\seria.exe
  • Информирует злоумышленника об успешном заражении системы, открывая ссылку:
http://vip.c***e.cn:81/admin/count.php?isOnline=1
  • Останавливает службу брандмауэра Windows, выполняя команду: net stop sharedaccess
  • Загружает с сервера злоумышленника список URL для загрузки файлов на зараженный компьютер по следующей ссылке:
http://list.c***e.cn:6668/Down/list.txt

Загруженные данные сохраняются в файле:

c:\Program Files\nowlist2.dat
  • Считывает ссылки из "nowlist2.dat" и загружает по ним файлы. Файлы сохраняются под следующими именами:
d:\WinsUp\kb75818<rnd>.exe

где <rnd> – случайные числа.
После успешной загрузки файлы запускаются на выполнение.

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

  • При помощи Диспетчера задач завершить процесс "seria.exe".
  • Удалить файлы:
C:\Program Files\Common Files\seria.exe
%ALLUSERSPROFILE%\Start Menu\Programs\
Startup\seria.exe
  • Удалить каталог и все его содержимое:
d:\WinsUp
  • Очистить каталог Temporary Internet Files, который может содержать инфицированные файлы.

Ищем уязвимости в системе и новых подписчиков!

Первое — находим постоянно, второе — ждем вас

Эксплойтните кнопку подписки прямо сейчас