Методы обнаружения вирусов

Trojan-Banker.Win32.Qhost.mmu

Время детектирования 21 окт 2011 07:35 MSK
Время выпуска обновления 21 окт 2011 10:37 MSK
Описание опубликовано 10 янв 2012 18:54 MSK

Технические детали
Деструктивная активность
Рекомендации по удалению

Технические детали

Троянская программа, которая блокирует работу компьютера с целью получить выкуп за восстановление работы. Является приложением Windows (PE-EXE файл). Имеет размер 28672 байта. Упакована при помощи UPX. Распакованный размер — около 37 КБ. Написана на C++.

Инсталляция

После активации троянец копирует свое тело в следующий каталог под именем "22CC6C32.exe": 

%Documents and Settings%\All Users%\ApplicationData%\22CC6C32.exe
Далее перезаписывает следующие системные файлы своими копиями: 
%System%\taskmgr.exe
%System%\dllcache\taskmgr.exe
%WinDir%\explorer.exe
%System%\dllcache\explorer.exe
%System%\userinit.exe
%System%\dllcache\userinit.exe
При этом создает копию файла "explorer.exe" с именем "7C3B2A7D.exe" в корневом каталоге Windows: 
%WinDir%\7C3B2A7D.exe
и копию файла "userinit.exe" с именем "03014D3F .exe" в системном каталоге Windows: 
%System%\03014D3F.exe
Если троянцу не удалось перезаписать системный файл "taskmgr.exe", тогда он в бесконечном цикле завершает процесс с данным именем.

Для отключения защиты системных файлов Windows File Protection использует недокументированную функцию системной библиотеки "sfc_os.dll".

Для автоматического запуска при каждом следующем старте системы троянец добавляет ссылку на свой исполняемый файл в следующие ключи автозапуска системного реестра: 

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell" = "Explorer.exe"
или 
[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit" = "%Documents and Settings%\All Users%\ApplicationData%\22CC6C32.exe"


Деструктивная активность

Для контроля уникальности своего процесса в системе троянец создает уникальный идентификатор с именем: 

BFFF5675-ADC0-4740-81FF-7540597A0DC5
Проверяет наличие в системе процесса с именем: 
explorer.exe
Если процесс был обнаружен, то троянец завершает его.

Троянец отображает свое окно поверх всех окон по центру экрана:

Номер телефона, отображаемый пользователю, выбирается случайным образом из следующего списка: 

8-909-161-46-93
8-909-940-66-61
8-909-651-64-62
8-906-798-29-35
8-906-097-05-74
8-909-650-80-66


Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

  1. Данный вредонос не имеет кодов разблокировки. Для удаления вредоносной программы воспользоваться утилитой Kaspersky WindowsUnlocker для борьбы с программами-вымогателями()
  2. Восстановить значения параметров ключей системного реестра (системного реестра): 
    [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell" = "%Documents and Settings%\All Users%\ApplicationData%\22CC6C32.exe"
    или 
    [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit" = "C:\WINDOWS\system32\userinit.exe"
  3. Восстановить файл: 
    %System%\taskmgr.exe
%System%\dllcache\taskmgr.exe
  4. Восстановить файлы: 
    %WinDir%\explorer.exe
%System%\dllcache\explorer.exe
    из созданной троянцем копии: 
    %WinDir%\7C3B2A7D.exe
  5. Восстановить файлы: 
    %System%\userinit.exe
%System%\dllcache\userinit.exe
    из созданной троянцем копии: 
    %System%\03014D3F.exe
  6. Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).


НОВОЕ НА САЙТЕ

Бизнес-школа «БИЗНЕС ИНСАЙТ» и проект «ЭКСПЕРТЫ» приглашают на III Всероссийский онлайн-форум «БИЗНЕС. ВЕСНА 2024». Бизнес-форум — важнейшее событие в мире бизнеса. На одной площадке соберутся действующие предприниматели, эксперты-практики, чтобы поделиться […]

The post 25-26.05.24г. 10.00-15.00. III Всероссийский форум «БИЗН... Новости Безопастности

17 апреля 2024 года

В 2023 году самыми всераспространенными Android-угрозами стали троянские программы, демонстрирующие рекламу. Шпионские троянские приложения по уподоблению с прошлым годом понизили свою энергичность таково словно стали вторыми по числу детектирований на защищаемых антивирусом Dr.Web устройствах. невзирая на то, словн... Вирусные новости

11 апреля 2024 года

Компания «Доктор Веб» 4 апреля сообщила о выпуске обновления для продуктов линейки Dr.Web Enterprise Security Suite, сертифицированных ФСТЭК России.

Обновление ориентировано н... Антивирус Dr.Web

4 апреля 2024 года

Компания «Доктор Веб» информирует о выпуске обновления Dr.Web Desktop Security Suite (для Windows), Dr.Web Server Security Suite (для Windows), Dr.Web Mail Security Suite (для MS Exchange) так как Агента Dr.Web для Windows в составе сертифицированного ФСТЭК нашей родины Dr.Web Enterprise Security Suite (сертификат соответствия №3509). В рамках ... Антивирус Dr.Web

1 апреля 2024 года

Согласно этим статистики детектирований Dr.Web для мобильных механизмов Android, в феврале 2024 лета несравнимо возросла энергичность маркетинговых троянских программ из семейства Android.HiddenAdsВирусные новости

Main menu


Sub menu