Технические детали

Вредоносная программа, предназначенная для похищения пользовательских данных аутентификации. образуется приложением Windows (PE-EXE файл). Имеет размер 6144 байта. Упакована UPX. Распакованный размер – около 12 КБ. написана на C++.

Деструктивная активность

сле запуска вредонос чувствует пребывание в системном реестре ветви:

[HKCUSoftwareClassesCLSID{82404416-4C60-47F8-BA06-90BA7261C3AE}
InprocServer32]

Если ветвь отсутствует, выполняются надлежащие действия:

• тело вредоноса копируется в каталог хранения временных файлов текущего пользователя:

  %Temp%Procmon.exe

• Созданная фотография запускается с параметром "loop".

  При запуске с параметром "loop" вредонос завершает процессы, содержащие в именах своих исполняемых файлов подстроку "duospeak". попозже этого создается эдак будничный запускается сценарий командного интерпретатора "c: est.bat" соответствующего содержания:

  :try
  del "<полный дорога к оригинальному файлу троянца>""
   if exist "<полный дорога к оригинальному файлу троянца>" goto try
   del %0
  

  что приводит к удалению неспецефического файла троянца попозже завершения его работы. При конкретно в этом сам сценарий а уж уж еще удаляется.

Если вышеуказанная ветвь системного реестра найдена, то троянец изготавливает надлежащие действия:

• считывает значение ключа:

  [HKCUSoftwareClassesCLSID{82404416-4C60-47F8-BA06-90BA7261C3AE}InprocServer32]
  "default"

  данный ключ бережет строку, содержащую дорога к файлу некоторой DLL.
• Удаляет файл: YYCtrl.dll Путь создается из прежде считанной строки алгоритмом удаления последних 14-ти символов.
• Извлекает из своего тела файл:

  YYCtrl.dll

  (4608 байт; детектируется Антивирусом Касперского а уж уж как же "Trojan.Win32.Agent2.dmuw") Файл создается с атрибутом "скрытый" (hidden).
• Модифицирует библиотеку

  msvcr71.dll

  дописывая в нее код, подгружающий к некоторому процессу извлеченную прежде библиотеку. аналогичным образом, в адресное пространство каких бы то ни было процессов, подгружающих "msvcr71.dll", хватит внедряться эдак будничный вредная библиотека "YYCtrl.dll".
• Создает эдак будничный запускает описанный прежде сценарий "c: est.bat", попозже чего завершает свою работу.

Будучи подгруженной в адресное пространство процесса "duospeak.exe" библиотека "YYCtrl.dll" позволяет следить вводимую пользователем информацию в окнах с именами классов:

YYMainWnd
YYLogin
Edit

Собранные данные отправляется в HTTP-запросах на сервера:

124.***.56.12
121.***.13.22

Рекомендации по удалению

Если ваш индивидуальный персональный компьютер перестать работать был защищен антивирусом эдак будничный оказался заражен данной вредоносной программой, то для её удаления надо реализовать надлежащие действия:

1. При помощи ("Диспетчера задач") закончить процесс "duospeak.exe".
2. Удалить файлы:

   %Temp%Procmon.exe
   YYCtrl.dll
   

3. Восстановить оригинальное содержимое файла:

   msvcr71.dll

4. Произвести полную экзамен индивидуального персонального компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).

MD5: 7ACC4753C7A39E0F3E70C46DFCEF7E28

SHA1: 3DA90B2175444CC8DC10375C83B3D414A69F21BC

Резюме

• Trojan-Dropper. тайком устанавливает в систему другие вредоносные программы

• Выполняет потенциально-опасные действия

Технические детали

Имеет размер 6144 байт.

Инсталляция

После запуска учреждает свои копии под соответствующими именами:

• Каталог для хранения временных файлов ОС Windows (обычно, C:Documents and Settings<Имя_текущего_пользователя>Local SettingsTemp)%Temp%Procmon.exe

Вредоносная активность

Создает надлежащие файлы:

• c: est.bat

Следующие файлы запускаются на исполнение:

• c: est.bat

Прочие действия

Производит запуск следующих файлов (команд):

• Каталог для хранения временных файлов ОС Windows (обычно, C:Documents and Settings<Имя_текущего_пользователя>Local SettingsTemp)%Temp%Procmon.exe