Технические детали

Вредоносная программа, предоставляющая злоумышленнику удаленный доступ к зараженной машине. Программа является приложением Windows (PE DLL-файл). Имеет размер 25600 байт. Написана на C++.

Инсталляция

Троянец копирует свое тело в системный каталог Windows под именем "tftp.nfo":

%System%\tftp.nfo

Для автоматического запуска при следующем старте системы троянец добавляет запись в ключ автозапуска системного реестра:

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"="Explorer.exe rundll32.exe tftp.nfo beforegllav"

Деструктивная активность

Если на компьютере пользователя был установлен пакет приложений "Microsoft Office", то троянец устанавливает низкий уровень безопасности, записав следующие значения в ключ системного реестра:

[HKCU\Software\Microsoft\Office\11.0\Word\Security]
"Level" = "1"
"AccessVBOM" = "1"

Для контроля уникальности своего процесса в системе троянец создает уникальный идентификатор с именем:

220345490583560db9

Далее троянец создает процесс с именем "svchost.exe" и внедряет в его адресное пространство свой вредоносный код:

svchost.exe

Троянец отправляет запрос по следующему адресу:

http://chipideil.net/mld/bb.php

На момент создания описания ссылка не работала.

В ответ получает файл конфигурации для дальнейшей своей работы.

Ссылки для загрузки других вредоносных файлов, полученные из файла конфигурации, троянец сохраняет в следующем ключе реестра:

[HKCR\idid]

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

1. Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
2. Удалить файлы:

   %System%\tftp.nfo

3. Очистить каталог Temporary Internet Files, который может содержать инфицированные файлы (Как удалить инфицированные файлы в папке Temporary Internet Files?):

   %Temporary Internet Files%

4. Удалить ключ системного реестра (как работать с реестром?): [HKCR\idid]
5. При необходимости восстановить значения параметров "Level" и "AccessVBOM" в ключе системного реестра(как работать с реестром?):

   [HKCU\Software\Microsoft\Office\11.0\Word\Security]
   "Level"
   "AccessVBOM"
   

6. Восстановить значение параметра ключа системного реестра на следующее(как работать с реестром?):

   [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
   "Shell" = "Explorer.exe"
   

7. Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).

MD5: C06D2A310BD4C3BE2EB4C7E9A478D08B

SHA1: 5E4E5F7607ED95A2C92C121C2ADC9E72F0A85A7F

23 апреля 2024 года

Обращаем внимательность на дальнейшее обновление пасмурной версии песочницы Dr.Web vxCube, в взаимоотношения с чем 24 апреля с 13:00 перед началом 14:00 по столичному времени обслуживание будет недоступен для использования.

В составе песочницы будет обновлена документация — описание работы обслуживания будет снова на... Антивирус Dr.Web

Бизнес-школа «БИЗНЕС ИНСАЙТ» и проект «ЭКСПЕРТЫ» приглашают на III Всероссийский онлайн-форум «БИЗНЕС. ВЕСНА 2024». Бизнес-форум — важнейшее событие в мире бизнеса. На одной площадке соберутся действующие предприниматели, эксперты-практики, чтобы поделиться […]

The post 25-26.05.24г. 10.00-15.00. III Всероссийский форум «БИЗН... Новости Безопастности

17 апреля 2024 года