Троянская программа-шпион, предназначенная для похищения конфиденциальной информации пользователя.
Троянская программа-шпион, предназначенная для похищения конфиденциальной информации пользователя. Является приложением Windows (PE-EXE файл). Имеет размер 110592 байта. Упакована при помощи UPX. Распакованный размер – около 219 КБ. Написана на С++.
После запуска троянец извлекает из своего тела файл, который сохраняет под именем:
%Program Files%\Common Files\msado320.tlbДанный файл имеет размер 69632 байта и детектируется антивирусом Касперского как Trojan.Win32.Agent.nccy. Для автозапуска вредоносного файла, при каждой загрузке Windows, троянец подменяет ссылку на исполняемый модуль системной службы "LanmanServer" в ключе системного реестра:
[HKLM\System\CurrentControlSet\Services\LanmanServer\ Parameters]Также вредонос выполняет поиск файлов настроек подключения к сети Интернет:
"ServiceDll" = "%CommonProgramFiles%\msado320.tlb"
%ProgramFiles%\Internet Explorer\SIGNUP\*.insДалее троянец перемещает свой оригинальный файл в каталог временного хранения файлов текущего пользователя с именем:
%Temp%\<имя_временного_файла>.tmpЗапускаемый троянцем исполняемый модуль является ботом и управляется командами, которые поступают с сервера злоумышленника. После активации бот выполняет обращение к серверу обновлений "Microsoft" по ссылке:
http://download.windowsupdate.com/Результат обращения к серверу пытается сохранить в файл:
%Temp%\<tmp>.tmpгде tmp – имя временного файла. Далее троянец получает системную информацию, прочитав значения следующих параметров в ключах реестра:
[HKLM\Software\Microsoft\Windows NT\CurrentVersion]Полученные данные передаются в методе POST в зашифрованном виде на сервер злоумышленника по ссылке:
"ProductName"
"CSDVersion"
"InstallDate"
[HKLM\Software\Microsoft\Cryptography]
"MachineGuid"
http://meg***omen.com/class3/c.phpНапример, передаваемые данные могут иметь следующий вид:
4370e12c-fc9f-4433-b782-c8a7d39bc363.1284659100 <|>2.5.7.0<|>adv15< |>0<|>Microsoft Windows XP Service Pack 3В ответ сервер передает боту управляющие команды, а также некоторые параметры. Обмен данными с сервером выполняется в зашифрованном виде, для чего использует криптографические механизмы Microsoft Windows. Бот может получать следующие команды:
Reboot; DownloadAndExecuteEXE; DAMPDLL; Wipe; Update; SelfRemove; CfgWrite.В результате выполнения команд бот выполняет следующий вредоносный функционал:
%Temp%\<tmp>.tmpгде tmp – имя временного файла.
cmd Update Url http://meg***men.com/class3/u.php?f=rZ80fOiDsF60 Version 9.9.9.9 LoadImmidiatly true
%System%\config\software.sav %System%\config\system.sav %System%\config\system %System%\config\default %System%\config\SAM %System%\config\SECURITY %System%\config\software %System%\config\afw_db.conf %System%\config\afw_hm.conf %System%\config\AppEvent.Evt %System%\config\SysEvent.Evt %System%\config\fsdb.sdb %System%\config\rules.rdb %System%\config\Internet.evt %System%\config\SecEvent.Evt %System%\config\userdiffТакже записывает "мусорные" данные в главную загрузочную запись (MBR) жесткого диска.
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
[HKLM\System\CurrentControlSet\Services\ LanmanServer\Parameters] "ServiceDll" = "%CommonProgramFiles%\msado320.tlb" на [HKLM\System\CurrentControlSet\Services\ LanmanServer\Parameters] "ServiceDll" = "%SystemRoot%\System32\srvsvc.dll"
%Temp%\
%Program Files%\Common Files\msado320.tlb
Разбираем кейсы, делимся опытом, учимся на чужих ошибках