Worm.Win32.VBNA.b

Технические детали

Троянская программа, выполняющая деструктивные действия на компьютере пользователя. Является приложением Windows (PE-EXE файл). В зависимости от модификации имеет размер от 66 до 510 КБ. Написана на Visual Basic.

Деструктивная активность

В зависимости от модификации конкретного экземпляра вредоноса, могут выполняться следующие действия:

• из тела троянца извлекаются файлы, которые сохраняются в системе как

  %System%\sdra64.exe

  (в зависимости от модификации троянца файл может иметь размер от 474 до 839 КБ; детектируется Антивирусом Касперского как "Trojan.Win32.VBKrypt.asd")

  %Temp%\MeTuS ( Thrasher ).exe

  (144384 байта; детектируется Антивирусом Касперского как "Worm.Win32.AutoRun.gsy")

  %Temp%\Fake Message Box.exe

  (16384 байта)
• Изменяется значение ключа системного реестра:

  [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
  "userinit"= "%System%\userinit.exe,%System%\sdra64.exe,"
  

  Таким образом, файл "sdra64.exe" будет автоматически запускаться процессом "WINLOGON.EXE" при каждом следующем старте системы.
• Также троянец может копировать свое тело в файл:

  %Temp%\explorer.exe

  При этом для автозапуска созданного файла создаются следующие ключи системного реестра:
  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
  "Microsoft Windows Hosting Service Login" = "%Temp%\explorer.exe"
  
  [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
  "Microsoft Windows Hosting Service Login" = "%Temp%\explorer.exe"
  Кроме того, созданная копия троянца добавляется в список доверенных приложений Брандмауэра Windows:
  [HKLM\System\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\
  AuthorizedApplications\List] "Microsoft Windows Hosting Service Login" = "%Temp%\explorer.exe"
• Троянец может загружать файлы со следующих хостов:

  dark***xist.com
  enter***955.dyndns.org
  

  Код, реализующий функционал загрузчика может внедряться в адресное пространство процесса "IEXPLORE.EXE".

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

1. Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
2. Удалить ключи системного реестра (как работать с реестром?):
   [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   "Microsoft Windows Hosting Service Login" = "%Temp%\explorer.exe"
   
   [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
   "Microsoft Windows Hosting Service Login" = "%Temp%\explorer.exe"
   
   [HKLM\System\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\
   StandardProfile\AuthorizedApplications\List]
   "Microsoft Windows Hosting Service Login" = "%Temp%\explorer.exe"
3. Удалить подстроку:

   %System%\sdra64.exe

   в значении ключа системного реестра (как работать с реестром?):
   [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] "userinit"
4. Удалить файлы:

   %System%\sdra64.exe 
   %Temp%\MeTuS ( Thrasher ).exe 
   %Temp%\Fake Message Box.exe 
   %Temp%\explorer.exe
   

5. Очистить каталог Temporary Internet Files, который может содержать инфицированные файлы (Как удалить инфицированные файлы в папке Temporary Internet Files?).
6. Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).

Резюме

• Trojan-Dropper. Скрытно устанавливает в систему другие вредоносные программы

• Осуществляет сетевую активность

Технические детали

Имеет размер 51712 байт.

Инсталляция

Создает следующие файлы на зараженном компьютере:

• Каталог текущего пользователя (обычно, C:\Documents and Settings\<Имя_текущего_пользователя>)%UserDir%\dwotkpvoh.exe (­детектируется антивирусом Касперского как­ Trojan.Win32.TDSS.bcxq)
• Каталог текущего пользователя (обычно, C:\Documents and Settings\<Имя_текущего_пользователя>)%UserDir%\1.exe (­детектируется антивирусом Касперского как­ Trojan.Win32.TDSS.bcxq)
• Каталог текущего пользователя (обычно, C:\Documents and Settings\<Имя_текущего_пользователя>)%UserDir%\2.exe (­детектируется антивирусом Касперского как­ Trojan-Downloader.Win32.CodecPack.kyw)
• Каталог для хранения временных файлов ОС Windows (обычно, C:\Documents and Settings\<Имя_текущего_пользователя>\Local Settings\Temp)%Temp%\1.tmp (­детектируется антивирусом Касперского как­ Trojan.Win32.TDSS.bcxq)
• Каталог для хранения временных файлов ОС Windows (обычно, C:\Documents and Settings\<Имя_текущего_пользователя>\Local Settings\Temp)%Temp%\2.tmp (­детектируется антивирусом Касперского как­ Trojan.Win32.TDSS.bcxq)
• Каталог для хранения временных файлов ОС Windows (обычно, C:\Documents and Settings\<Имя_текущего_пользователя>\Local Settings\Temp)%Temp%\4.tmp (­детектируется антивирусом Касперского как­ Trojan.Win32.TDSS.bcxq)
• Каталог для хранения временных файлов ОС Windows (обычно, C:\Documents and Settings\<Имя_текущего_пользователя>\Local Settings\Temp)%Temp%\Jgz..bat

Вредоносная активность

Создает следующие файлы:

• Каталог текущего пользователя (обычно, C:\Documents and Settings\<Имя_текущего_пользователя>)%UserDir%\ Имя пользователя%USERNAME%.exe (­детектируется антивирусом Касперского как­ Worm.Win32.VBNA.fbe)
• Каталог для хранения временных файлов ОС Windows (обычно, C:\Documents and Settings\<Имя_текущего_пользователя>\Local Settings\Temp)%Temp%\7ZSfx000.cmd

После чего обеспечивается Используя системный реестр, системные службы или специальные системные файлы, программа может обеспечивать свой запуск или запуск созданных ею файлов при каждой следующей загрузке ОС Windowsавтозагрузка установленных файлов:

путем прописывания в ключах автозапуска системного реестра:

[ Ветка системного реестра HKEY_CURRENT_USERHKCU\Software\Microsoft\Windows\CurrentVersion\Run ] " Имя пользователя%USERNAME%" = " Каталог текущего пользователя (обычно, C:\Documents and Settings\<Имя_текущего_пользователя>)%UserDir%\ Имя пользователя%USERNAME%.exe"

Следующие файлы запускаются на исполнение:

• Каталог для хранения временных файлов ОС Windows (обычно, C:\Documents and Settings\<Имя_текущего_пользователя>\Local Settings\Temp)%Temp%\7ZSfx000.cmd

Создает соединение со следующими адресами в Интернете:

• ***esgoodart.com:20480
• ***tactionart.com:20480
• ***shartssite.com:20480
• ***.theimageparlour.net:16415

Обращается к следующим адресам в Интернете:

• http://***rgah.com/1

Для определения своего присутствия в системе создает уникальные идентификаторы "mutex"

• ZonesCounterMutex
• ZonesCacheCounterMutex
• ZonesLockedCacheCounterMutex
• RasPbFile

Прочие действия

Удаляет следующие файлы на зараженном компьютере:

• Каталог текущего пользователя (обычно, C:\Documents and Settings\<Имя_текущего_пользователя>)%UserDir%\2.exe
• Каталог для хранения временных файлов ОС Windows (обычно, C:\Documents and Settings\<Имя_текущего_пользователя>\Local Settings\Temp)%Temp%\2.tmp
• Каталог для хранения временных файлов ОС Windows (обычно, C:\Documents and Settings\<Имя_текущего_пользователя>\Local Settings\Temp)%Temp%\7ZSfx000.cmd
• Каталог текущего пользователя (обычно, C:\Documents and Settings\<Имя_текущего_пользователя>)%UserDir%\DWOTKP~1.EXE
• Каталог для хранения временных файлов ОС Windows (обычно, C:\Documents and Settings\<Имя_текущего_пользователя>\Local Settings\Temp)%Temp%\JGZ~1.BAT