Резюме

• Trojan-Dropper. Скрытно устанавливает в систему другие вредоносные программы

• Осуществляет сетевую активность

Технические детали

Имеет размер 2944 байт.

Инсталляция

Создает следующие файлы на зараженном компьютере:

• Системный каталог ОС Windows (обычно, C:\Windows\System32)%System%\shimg.dll
• Системный каталог ОС Windows (обычно, C:\Windows\System32)%System%\dll.dll (­детектируется антивирусом Касперского как­ Trojan.Win32.Small.ahxc)
• Системный каталог ОС Windows (обычно, C:\Windows\System32)%System%\drivers\str.sys

Вредоносная активность

Создает следующие файлы:

• Каталог для хранения временных файлов ОС Windows (обычно, C:\Documents and Settings\<Имя_текущего_пользователя>\Local Settings\Temp)%Temp%\_1.tmp
• Каталог для хранения временных файлов ОС Windows (обычно, C:\Documents and Settings\<Имя_текущего_пользователя>\Local Settings\Temp)%Temp%\_2.tmp
• Каталог для хранения временных файлов ОС Windows (обычно, C:\Documents and Settings\<Имя_текущего_пользователя>\Local Settings\Temp)%Temp%\_3.tmp (­детектируется антивирусом Касперского как­ Trojan-Dropper.Win32.Agent.engb)
• Системный каталог ОС Windows (обычно, C:\Windows\System32)%System%\cryptnet32.dll (­детектируется антивирусом Касперского как­ Trojan.Win32.Agent.howi)
• Каталог для хранения временных файлов ОС Windows (обычно, C:\Documents and Settings\<Имя_текущего_пользователя>\Local Settings\Temp)%Temp%\DAT4.tmp.exe

После чего обеспечивается Используя системный реестр, системные службы или специальные системные файлы, программа может обеспечивать свой запуск или запуск созданных ею файлов при каждой следующей загрузке ОС Windowsавтозагрузка установленных файлов:

путем прописывания в ключах автозапуска системного реестра:

[ Ветка системного реестра HKEY_LOCAL_MACHINEHKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cryptnet32 ] "DllName" = "cryptnet32.dll"

используя системные службы:

Имя службы:	uuwxehso
Отображаемое имя службы:	uuwxehso
Параметры запуска:	Каталог для хранения временных файлов ОС Windows (обычно, C:\Documents and Settings\<Имя_текущего_пользователя>\Local Settings\Temp)%Temp%\DAT4.tmp.exe --SERVICE
Тип запуска:	­автоматически­

Следующие файлы запускаются на исполнение:

• Каталог для хранения временных файлов ОС Windows (обычно, C:\Documents and Settings\<Имя_текущего_пользователя>\Local Settings\Temp)%Temp%\_1.tmp
• Каталог для хранения временных файлов ОС Windows (обычно, C:\Documents and Settings\<Имя_текущего_пользователя>\Local Settings\Temp)%Temp%\_2.tmp
• Каталог для хранения временных файлов ОС Windows (обычно, C:\Documents and Settings\<Имя_текущего_пользователя>\Local Settings\Temp)%Temp%\_3.tmp
• Каталог для хранения временных файлов ОС Windows (обычно, C:\Documents and Settings\<Имя_текущего_пользователя>\Local Settings\Temp)%Temp%\DAT4.tmp.exe

Создает соединение со следующими адресами в Интернете:

• ***.50.197.243:16415
• ***.55.92.184:6400
• ***.55.92.168:6400
• ***.122.73.21:20480
• ***.161.10.230:20480

Проверяет наличие Dial-UP соединений на зараженном компьютере

Для определения своего присутствия в системе создает уникальные идентификаторы "mutex"

• Global\{66C44A83-3E94-438b-8278-812E2D8D603F}

Пытается найти файлы на компьютере пользователя по следующим маскам:

• *.*
• *.rdp
• *.pcf
• *.set
• *.ini
• *.store

Прочие действия

Изменяет следующие ключи системного реестра:

[ Ветка системного реестра HKEY_LOCAL_MACHINEHKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cryptnet32 ] "Startup" = "WinlogonStartEX"

[ Ветка системного реестра HKEY_LOCAL_MACHINEHKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cryptnet32 ] "Logoff" = "WinlogonLogEX"

[ Ветка системного реестра HKEY_LOCAL_MACHINEHKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cryptnet32 ] "Shutdown" = "WinlogonLogEX"

[ Ветка системного реестра HKEY_LOCAL_MACHINEHKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cryptnet32 ] "Asynchronous" = "0x1"

[ Ветка системного реестра HKEY_LOCAL_MACHINEHKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cryptnet32 ] "Impersonate" = "0x0"

[ Ветка системного реестра HKEY_LOCAL_MACHINEHKLM\SYSTEM\ControlSet001\Services\Tcpip\Parameters ] "MaxUserPort" = "0xFFFE"

[ Ветка системного реестра HKEY_LOCAL_MACHINEHKLM\SYSTEM\ControlSet001\Services\Tcpip\Parameters ] "TcpNumConnections" = "0xFFFE"

[ Ветка системного реестра HKEY_LOCAL_MACHINEHKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer ] "id" = "54166703600814409684005648420452"

[ Ветка системного реестра HKEY_LOCAL_MACHINEHKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\BITS ] "id" = "55501544972490188252809793194806"

Удаляет следующие файлы на зараженном компьютере:

• Системный каталог ОС Windows (обычно, C:\Windows\System32)%System%\crt.dat

17 апреля 2024 года