Троянская программа, выполняющая деструктивные действия на компьютере пользователя.
Троянская программа, выполняющая деструктивные действия на компьютере пользователя. Программа является приложением Windows (PE DLL-файл). Имеет размер 69632 байта. Написана на C++.
После активации троянец выполняет обращение к серверу обновлений "Microsoft" по ссылке:
http://download.windowsupdate.com/Результат обращения к серверу пытается сохранить в файл:
%Temp%\<rnd1>.tmpгде <rnd1> – произвольная последовательность из букв и цифр латинского алфавита.
Далее троянец выполняет чтение следующих ключей системного реестра Windows:
[HKLM\Software\Microsoft\Windows NT\CurrentVersion] "ProductName" "CSDVersion" "InstallDate" [HKLM\Software\Microsoft\Cryptography] "MachineGuid"На основании которых формирует строку обращения к управляющему серверу. Данные отправляются с помощью POST метода по следующему URL адресу:
http://mega***en.com/class3/c.phpОбмен данными с сервером выполняется в зашифрованном виде, для чего использует криптографические механизмы Microsoft Windows.
В ответ сервер передает управляющие команды, а также некоторые параметры. Троянец может получать следующие команды:
Reboot; DownloadAndExecuteEXE; DAMPDLL; Wipe; Update; SelfRemove; CfgWrite.В результате выполнения команд троянец выполняет следующий вредоносный функционал:
%Temp%\<rnd2>.tmpгде <rnd2> – произвольная последовательность из букв и цифр латинского алфавита.
cmd Update Url http://meg***en.com/class3/u.php?f=rZ80fOiDsF60 Version 9.9.9.9 LoadImmidiatly true
%System%\config\software.sav %System%\config\system.sav %System%\config\system %System%\config\default %System%\config\SAM %System%\config\SECURITY %System%\config\software %System%\config\afw_db.conf %System%\config\afw_hm.conf %System%\config\AppEvent.Evt %System%\config\SysEvent.Evt %System%\config\fsdb.sdb %System%\config\rules.rdb %System%\config\Internet.evt %System%\config\SecEvent.Evt %System%\config\userdiffТакже записывает "мусорные" данные в главную загрузочную запись (MBR) жесткого диска.
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
%Temp%\<rnd1>.tmp
%Temp%\<rnd2>.tmp
Лечим цифровую неграмотность без побочных эффектов