Trojan-Downloader.Win32.Agent.cmrv

Технические детали

Троянская программа, устанавливающая другие программы на компьютере пользователя без его ведома. Является приложением Windows (PE-EXE файл). Имеет размер 30208 байт. Упакована UPX. Распакованный размер – около 45 КБ. Написана на C++.

Деструктивная активность

После запуска троянец выполняет следующие действия:

• для контроля уникальности своего процесса в системе создает уникальный идентификатор с именем:

  true

• Останавливает работу службы "wscsvc" (Центр обеспечения безопасности Windows).
• Если в системе запущены процессы:

  ekrn.exe
  egui.exe
  

  то отменяется автоматический запуск службы "ekrn". Затем запускается системная утилита "taskkill" со следующими параметрами:

  /f /im ekrn.exe
  /f /im egui.exe
  

  Таким образом, процессы "ekrn.exe" и "egui.exe" завершаются.
• Если в системе запущены процессы:

  ras.exe
  avp.exe
  360tray.exe
  safeboxtray.exe
  

  то в отдельном потоке из тела троянца извлекается файл, который сохраняется в каталоге хранения временных файлов пользователя как

  %Temp%\~<rnd1>.w

  (12800 байт; детектируется Антивирусом Касперского как "Trojan.Win32.Agent2.cmry") где <rnd1> – случайное восьмизначное десятичное число.

  После этого запускается системная утилита "rundll32.exe" с параметрами:

  %Temp%\~<rnd1>.w ,AboutDlgProc 18

  Таким образом, из извлеченной библиотеки вызывается функция "AboutDlgProc". Вызов данной функции приводит к выгрузке из системной памяти вышеуказанных процессов. При этом также блокируется запуск процесса "avp.exe" путем создания ключа системного реестра:

  [HKLM\Software\Microsoft\Windows NT\CurrentVersion\
  Image File Execution Options\avp.exe]
  "Debugger" = "services.exe"
  

• Извлекает из своего тела файлы, которые сохраняются в каталоге хранения временных файлов пользователя под следующими именами:

  %Temp%\~<rnd2>.tmp

  (10752 байта; детектируется Антивирусом Касперского как "Rootkit.Win32.Agent.idd")

  %Temp%\~<rnd3>.tmpe

  (6656 байт; детектируется Антивирусом Касперского как "Trojan-Downloader.Win32.Small.amcr") где <rnd2>, <rnd3> – случайные восьмизначные десятичные числа.
• Запускает на выполнение файл "~<rnd3>.tmpe". Запущенный файл загружает из сети Интернет файлы по следующим ссылкам:

  http://txt.au***m.com/xx.txt 
  http://txt.au***m.com/ad.txt 
  http://d.nk***s.com/xx.exe 
  

  Загруженные файлы сохраняются в каталоге хранения временных файлов текущего пользователя "%Temp%" под случайными именами. Файл, загружаемый по первой ссылке, содержит ссылки для загрузки на зараженный компьютер других вредоносных программ. По полученным ссылкам также загружаются файлы. Файлом, загруженным по второй ссылке, подменяется файл:

  %System%\drivers\etc\hosts

  Успешно загруженный по третьей ссылке файл запускается на выполнение. На момент создания описания приведенные ссылки не работали.
• Создает и запускает в системе службу с именем "vb", исполняемым файлом которой является извлеченный ранее файл:

  %Temp%\~<rnd2>.tmp

  Данный драйвер предназначен для сокрытия наличия файлов на диске, а также запущенных в системе процессов.
• Создает ключ системного реестра:

  [HKLM\Software\Microsoft\Windows NT\CurrentVersion\
  Image File Execution Options\egui.exe]
  "Debugger" = "services.exe"
  

  Таким образом, запуск процесса "egui.exe" блокируется.

После этого троянец завершает свою работу. Оригинальный файл троянца будет удален при очередной перезагрузке системы.

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

1. Удалить ветвь системного реестра (как работать с реестром?):

   [HKLM\System\CurrentControlSet\Services\vb]

2. Удалить ключ системного реестра (как работать с реестром?):

   [HKLM\Software\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\egui.exe]
   "Debugger" = "services.exe"
   
   [HKLM\Software\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\avp.exe]
   "Debugger" = "services.exe"
   

3. Перезагрузить компьютер.
4. Удалить файлы:

   %Temp%\~<rnd1>.w 
   %Temp%\~<rnd2>.tmp 
   %Temp%\~<rnd3>.tmpe 
   

5. Используя Консоль управления MMC (Microsoft Management Console) (вкладка "Службы и приложения\Службы"), запустить службу "Центр обеспечения безопасности".
6. Восстановить оригинальное содержимое файла:

   %System%\drivers\etc\hosts

7. Удалить загруженные троянцем файлы в каталоге "%Temp%".
8. Очистить каталог Temporary Internet Files, который может содержать инфицированные файлы (Как удалить инфицированные файлы в папке Temporary Internet Files?).
9. Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).