Технические детали
Деструктивная активность
Рекомендации по удалению
Технические детали
Троянская программа, которая без ведома пользователя загружает из сети Интернет другие вредоносные программы и запускает их на выполнение. Является приложением Windows (PE-EXE файл). Имеет размер 3136 байт. Написана на C++.
Деструктивная активность
После запуска троянец устанавливает соединение со следующим IP адресом:
69.***.*92.250
и получает данные в зашифрованном виде. Затем выполняет расшифровку полученных данных и сохраняет файлы во временном каталоге текущего пользователя под именами вида:
%Temp%\_.tmp
где <rnd> - произвольная последовательность из цифр и букв латинского алфавита.
Далее троянец запускает скачанные файлы и завершает свою работу.
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
- Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
- Удалить файлы:
%Temp%\_.tmp
- Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).
MD5: 6095BED3C3CC571AE8261EEDB078D90B
SHA1: 1900E687ECEE587C1E11E9630F9ED57D8FED45FF
Резюме
Технические детали
Имеет размер 3136 байт.
Инсталляция
Создает следующие файлы на зараженном компьютере:
-
Системный каталог ОС Windows (обычно, C:\Windows\System32)%System%\shimg.dll
-
Системный каталог ОС Windows (обычно, C:\Windows\System32)%System%\dll.dll
(детектируется антивирусом Касперского как Trojan.Win32.Small.ahxa)
-
Системный каталог ОС Windows (обычно, C:\Windows\System32)%System%\drivers\str.sys
Вредоносная активность
Создает следующие файлы:
-
Каталог для хранения временных файлов ОС Windows (обычно, C:\Documents and Settings\<Имя_текущего_пользователя>\Local Settings\Temp)%Temp%\_1.tmp
-
Каталог для хранения временных файлов ОС Windows (обычно, C:\Documents and Settings\<Имя_текущего_пользователя>\Local Settings\Temp)%Temp%\_2.tmp
-
Каталог для хранения временных файлов ОС Windows (обычно, C:\Documents and Settings\<Имя_текущего_пользователя>\Local Settings\Temp)%Temp%\_3.tmp
(детектируется антивирусом Касперского как Trojan-Dropper.Win32.Agent.eokm)
-
Системный каталог ОС Windows (обычно, C:\Windows\System32)%System%\cryptnet32.dll
(детектируется антивирусом Касперского как Trojan.Win32.Agent.hpbf)
-
Каталог для хранения временных файлов ОС Windows (обычно, C:\Documents and Settings\<Имя_текущего_пользователя>\Local Settings\Temp)%Temp%\DAT4.tmp.exe
После чего обеспечивается
Используя системный реестр, системные службы или специальные системные файлы, программа может обеспечивать свой запуск или запуск созданных ею файлов при каждой следующей загрузке ОС Windowsавтозагрузка установленных файлов:
путем прописывания в ключах автозапуска системного реестра:
[
Ветка системного реестра HKEY_LOCAL_MACHINEHKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cryptnet32 ]
"DllName" = "cryptnet32.dll"
используя системные службы:
| Имя службы: | pfpaclgapjjy |
| Отображаемое имя службы: | pfpaclgapjjy |
| Параметры запуска: |
Каталог для хранения временных файлов ОС Windows (обычно, C:\Documents and Settings\<Имя_текущего_пользователя>\Local Settings\Temp)%Temp%\DAT4.tmp.exe --SERVICE |
| Тип запуска: | автоматически |
Следующие файлы запускаются на исполнение:
-
Каталог для хранения временных файлов ОС Windows (обычно, C:\Documents and Settings\<Имя_текущего_пользователя>\Local Settings\Temp)%Temp%\_1.tmp
-
Каталог для хранения временных файлов ОС Windows (обычно, C:\Documents and Settings\<Имя_текущего_пользователя>\Local Settings\Temp)%Temp%\_2.tmp
-
Каталог для хранения временных файлов ОС Windows (обычно, C:\Documents and Settings\<Имя_текущего_пользователя>\Local Settings\Temp)%Temp%\_3.tmp
-
Каталог для хранения временных файлов ОС Windows (обычно, C:\Documents and Settings\<Имя_текущего_пользователя>\Local Settings\Temp)%Temp%\DAT4.tmp.exe
Создает соединение со следующими адресами в Интернете:
- ***.50.192.250:16415
- ***.54.188.126:6400
- ***.54.188.110:6400
Проверяет наличие Dial-UP соединений на зараженном компьютере
Для определения своего присутствия в системе создает уникальные идентификаторы "mutex"
- Global\{66C44A83-3E94-438b-8278-812E2D8D603F}
Пытается найти файлы на компьютере пользователя по следующим маскам:
- *.*
- *.rdp
- *.pcf
- *.set
- *.ini
- *.store
Прочие действия
Изменяет следующие ключи системного реестра:
[
Ветка системного реестра HKEY_LOCAL_MACHINEHKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cryptnet32 ]
"Startup" = "WinlogonStartEX"
[
Ветка системного реестра HKEY_LOCAL_MACHINEHKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cryptnet32 ]
"Logoff" = "WinlogonLogEX"
[
Ветка системного реестра HKEY_LOCAL_MACHINEHKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cryptnet32 ]
"Shutdown" = "WinlogonLogEX"
[
Ветка системного реестра HKEY_LOCAL_MACHINEHKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cryptnet32 ]
"Asynchronous" = "0x1"
[
Ветка системного реестра HKEY_LOCAL_MACHINEHKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cryptnet32 ]
"Impersonate" = "0x0"
[
Ветка системного реестра HKEY_LOCAL_MACHINEHKLM\SYSTEM\ControlSet001\Services\Tcpip\Parameters ]
"MaxUserPort" = "0xFFFE"
[
Ветка системного реестра HKEY_LOCAL_MACHINEHKLM\SYSTEM\ControlSet001\Services\Tcpip\Parameters ]
"TcpNumConnections" = "0xFFFE"
[
Ветка системного реестра HKEY_LOCAL_MACHINEHKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer ]
"id" = "54189295957247182736470528598498"
Удаляет следующие файлы на зараженном компьютере:
-
Системный каталог ОС Windows (обычно, C:\Windows\System32)%System%\crt.dat
RSS-каналы
Уровень опасности: 1
