Технические детали
Деструктивная активность
Рекомендации по удалению

Технические детали

Троянская программа, выполняющая деструктивные влияния на индивидуальном индивидуальном индивидуальном индивидуальном индивидуальном персональном компьютере пользователя. возникает приложением Windows (PE-EXE файл). Имеет размер 56832 байт. Упакована неизвестным упаковщиком. Распакованный размер – близ 53 КБ. написана на C++.

Инсталляция

В зависимости от показателей запуска троянец копирует свое мертвое тело в файл:

%APPDATA%
etprotocol.exe

или формирует свою копию в системном каталоге Windows:

%System%
etprotocol.exe

Для автоматического запуска созданной копии при каждом следующем старте системы создается замерить системного реестра:

[HKLMSoftwareMicrosoftWindowsCurrentVersionRun]
"Netprotocol" = "%APPDATA%
etprotocol.exe"

Если данный замерить создать закончить удается, троянец формирует ключ:

[HKCUSoftwareMicrosoftWindowsCurrentVersionRun]
"Netprotocol" = "%APPDATA%
etprotocol.exe"

Если файл был скопирован в системный каталог Windows, то создается ключ:

[HKCUSoftwareMicrosoftWindowsCurrentVersionRun]
"Netprotocol"="%System%
etprotocol.exe"

После этого троянец запускает созданную копию на выполнение.

Деструктивная активность

После запуска вредонос обращается к соответствующим серверам для получения команд для ожидающей работы:

http://dia***sp.in
http://los***ph.com
http://kas***seuk.com
http://krex***amdx.com

После этого переходит в цикл ожидания команд.

По команде злодея троянец умножать обновлять общительный исполняемый файл, загружая обновление с сервера злоумышленника. кроме того, умножать загружаться файл, сохраняемый в рабочем каталоге троянца как:

%WorkDir%
etprotdrvss

После успешной загрузки файл запускается на выполнение.

Запросы к серверам злодея имеют баста шансы обладать соответствующий вид:

1. Запрос предназначен для уведомления злодея об успешной установке вредоноса на индивидуальном индивидуальном индивидуальном индивидуальном индивидуальном персональном компьютере пользователя:

   <serverName>/nconfirm.php?rev=350&code=11m=2&num=<uniqueNum>

2. Запрос для получения команд для ожидающей работы троянца:

   <server>/njob.php?num=<number>&rev=350

3. Запрос на загрузку файла "netprotdrvss":

   <server>/nconfirm.php?rev=350&code=11m=2&num=<uniqueNum>

   где <serverName> - один из вышеуказанных серверов злоумышленника; <uniqueNum> - истинный номер, зависящий от сетевого оборудования индивидуального индивидуального индивидуального персонального компьютера пользователя, в частности "40401870851072".

Для личной ожидающей работы троянец формирует файл конфигурации, какой-нибудь располагается по следующему пути:

%WorkDir%System.log

Троянец умножать получить соответствующие команды с сервера злоумышленника:

<ZORKASITE>

<BEGUNFEED>

<REKLOSOFT>

<TEASERNET>

<SUPERPOISK>

<DIRECTST>

<LIVINETCH>

<PARKING>

<UPDATE>

<DOWNRUN>

<PRIORITYHOST>

<SETSTPAGE>

<COOKREJCT>

<DESTROY>

В зависимости от купленной команды умножать совершать соответствующие действия:

• "Накручивать" статистику посещаемости сайтов - с сервера злодея приходят поисковые запросы настолько будто ссылки на ресурсы, рейтинг которых весьма немаловажно повысить.
• Подменять результаты поисковой выдачи;
• Изменять стартовую страницу, а уж уж ещё систему поиска по умолчанию для соответствующих браузеров:

  Internet Explorer
  Opera
  Mozilla Firefox
  

  Для этого троянец изготавливает соответствующие действия:
  1. модифицирует значение показателей соответствующих ключей системного реестра:

     [HKCUSoftwareMicrosoftInternet ExplorerMain]
     "Start Page" = "http://w***olta.ru"
     
     [HKCUSoftwareMicrosoftInternet ExplorerSearchScopes{0633EE93-D776-472f-A0FF-E1416B8B2E3B}]
     "DisplayName"="Webvolta"
     "URL"="http://we***lta.ru/search.php?q={searchTerms}"
     

  2. создает файл в системном каталоге Windows:

     %System%operaprefs_fixed.ini

     файл содержит соответствующие строки:

     [User Prefs]
     Startup Type=2
     Home URL= http://we***lta.ru
     

  3. модифицирует файл:

     %APPDATA%MozillaFirefoxProfiles<каталог профиля пользователя>.defaultuser.js

     В файл записывает соответствующие строки:

     user_pref("dom.disable_window_status_change", false);
     user_pref("startup.homepage_override_url", "http://webvolta.ru");
     user_pref("browser.startup.page", 1);
     user_pref("browser.startup.homepage", "http://webvolta.ru");
     user_pref("browser.search.selectedEngine", "Webvolta");
     

  4. создает файл по следующему пути:

     %APPDATA%MozillaFirefoxProfiles<каталог профиля пользователя>.defaultsearchpluginswebvolta.xml

     Файл содержит соответствующие строки:

     <SearchPlugin xmlns="http://www.mozilla.org/2006/browser/search/">
     <ShortName>Webvolta</ShortName>
     <Description>Webvolta search.</Description>
     <InputEncoding>windows-1251</InputEncoding>
     <Url type="text/html" method="GET" template="http://web***ta.ru/search.php?">
     <Param name="q" value="{searchTerms}"/>
     </Url>
     </SearchPlugin>
     

• Встраивать в посещаемые пользователем страницы Java Script код, предназначенный для отображения рекламы следующего ресурса:

  http://be***n.ru

• Изменять имена серверов злоумышленника, к которым обращается троянец;
• Очищать содержимое ветви системного реестра:

  [HKCUSoftwareMicrosoftWindowsCurrentVersionInternet SettingsP3PHistory]

  таким образом троянец сбрасывает настройки разрешающие или блокирующие "cookie" для веб-узлов;
• При использовании пользователем браузера, перенаправлять юзера на ресурсы, указанные злоумышленником;
• Создавать ключи системного реестра:

  [HKLMSoftwareMicrosoftNetprotocol]
  "UniqueNum" = "<uniqueNum>"
  
  [HKCUAppEventsSchemesAppsExplorerNavigating.Current]
  "(Default)" = ""
  
  [HKLMSoftwareClassesMIMEDatabaseContent Typeapplication/x-javascript]
  "CLSID"="{25336920-03F9-11cf-8FD0-00AA00686F13}"
  
  [HKLMSoftwareClassesMIMEDatabaseContent Type	ext/javascript]
  "CLSID"="{25336920-03F9-11cf-8FD0-00AA00686F13}"
  

Рекомендации по удалению

Если ваш индивидуальный личный комп закончить был защищен антивирусом настолько будто оказался заражен данной вредоносной программой, то для её удаления весьма немаловажно выполнить соответствующие действия:

1. Перезагрузить индивидуальный личный комп в «безопасном режиме» (в самом начале загрузки нажать настолько будто удерживать кнопочку «F8», впоследствии разыскать конец «Safe Mode» в меню загрузки Windows).
2. Удалить ключи системного реестра (как выделывать с реестром?):

   [HKLMSoftwareMicrosoftWindowsCurrentVersionRun]
   "Netprotocol" = "%APPDATA%
   etprotocol.exe"
   
   [HKCUSoftwareMicrosoftWindowsCurrentVersionRun]
   "Netprotocol" = "%APPDATA%
   etprotocol.exe"
   
   [HKCUSoftwareMicrosoftWindowsCurrentVersionRun]
   "Netprotocol"="%System%
   etprotocol.exe"
   
   [HKLMSoftwareMicrosoftNetprotocol]
   "UniqueNum" = ""
   
   [HKCUAppEventsSchemesAppsExplorerNavigating.Current]
   "(Default)" = ""
   
   [HKLMSoftwareClassesMIMEDatabaseContent Typeapplication/x-javascript]
   "CLSID"="{25336920-03F9-11cf-8FD0-00AA00686F13}"
   
   [HKLMSoftwareClassesMIMEDatabaseContent Type	ext/javascript]
   "CLSID"="{25336920-03F9-11cf-8FD0-00AA00686F13}"
   

3. Восстановить ни на что непохожие значения показателей системного реестра (как выделывать с реестром?):

   [HKCUSoftwareMicrosoftInternet ExplorerMain]
   "Start Page"
   
   [HKCUSoftwareMicrosoftInternet ExplorerSearchScopes{0633EE93-D776-472f-A0FF-E1416B8B2E3B}]
   "DisplayName"
   "URL"=
   

4. Удалить файлы:

   %APPDATA%
   etprotocol.exe
   %System%
   etprotocol.exe
   %WorkDir%
   etprotdrvss
   %WorkDir%System.log
   %System%operaprefs_fixed.ini
   %APPDATA%MozillaFirefoxProfiles<каталог профиля пользователя>.defaultuser.js
   %APPDATA%MozillaFirefoxProfiles<каталог профиля пользователя>.defaultsearchpluginswebvolta.xml
   

5. Удалить истинный файл троянца (его страсть на зараженном индивидуальном индивидуальном индивидуальном индивидуальном индивидуальном персональном компьютере зависит от способа, которым программа попала на компьютер).
6. Очистить каталог Temporary Internet Files, содержащий инфицированные файлы (Как послать инфицированные файлы в папке Temporary Internet Files?):

   %Temporary Internet Files%

7. Произвести полную проверку индивидуального индивидуального индивидуального персонального компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).

md5: 6AFB00FE492DB4893D746263FA9BE9F7

sha1: 35176CB60F9D476B4FEC5DD959200CFD80FF98A7