Технические детали
Троянская программа. Имеет размер 65033 байта, написана на C++, упакована с помощью UPX.
Инсталляция
При запуске вредоносная программа копирует свой исполняемый файл в системный каталог Windows:
%System%\explore.exe
Для автоматического запуска при каждом следующем старте системы программа добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:
[HKLM\software\microsoft\windows nt\currentversion\winlogon]
"Shell" = Explorer.exe "%System%\explore.exe"
Деструктивная активность
При запуске программа периодически соединяется с одним из следующих командных серверов:
http://mai***un.com/tasker/
http://skdm***mioidf.com/tasker/
http://nort***t65ijnm235n.com/tasker/
И получает от него электронные адреса сайтов, с которыми программе следует соединиться. Таким образом, по команде управляющего сервера программа отправляет HTTP Get запрос на указанный сервер. В результате увеличивается статистика посещаемости сайта.
Бэкдор может отправлять управляющему серверу следующие типы HTTP запросов(для примера был выбран сервер http://mai***un.com/tasker/):
GET http://mai***un.com/tasker/talkback.php?words=&l=mtn10k
Такой запрос отправляется серверу для сообщения статуса работы программы.
- статус работы программы, может принимать следующие значения:
knock run ok
– программа запустилась
knock kill initfail
– программа не смогла корректно начать работу
knock kill cantkill
– программа не смогла завершить процесс “explore.exe”
knock copy fail
- программа не смогла скопировать себя в системную директорию windows
knock reg fail
– программа не смогла создать ключ автозагрузки в реестре
knock start ok
– программа успешно закончила установку и готова принимать команды от сервера
GET http://mai***un.com/tasker/gettask.php?version=20090722&l=mtn10k
Такой запрос отправляется серверу для получения команды, при этом в ответном сообщении содержатся следующие типы команды, которые затем выполняет вредоносная программа:
“update”
– по этой команде программа скачивает новую программу, запускает ее, а себя удаляет. Таким образом, происходит обновление вредоносной программы на более новую версию. Электронный адрес, с которого должно произойти обновление, вредоносная программа получает вместе с командой update.
“rich”
– по этой команде программа выполняет новый GET запрос на web-страницу, адрес которой получен вместе с командой rich. Таким образом, увеличивается статистика посещений полученной web-страницы.
“setTimerInterval”
– по этой команде изменяется период обращения вредоносной программы к управляющему серверу.
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
- Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
- Изменить значение ключа системного реестра:
[HKLM\software\microsoft\windows nt\currentversion\winlogon]
"Shell" = “Explorer.exe "%System%\explore.exe"” -> “Explorer.exe”
- Удалить файл, созданный троянцем:
%System%\explore.exe
- Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).
Резюме
Технические детали
Основной файл является приложением Windows (PE EXE-файл).
Имеет размер 65033 байт.
Файл был подвергнут обработке специальными утилитами "упаковщиками". Упаковка может применяться в разнообразных целях, в том числе и в легальных программах. Однако вирусописатели зачастую используют ее для обхода средств антивирусной защиты, а также затруднения анализа такой упакованной программы вирусным аналитикомУпакован UPX.
Инсталляция
Обеспечивает
Используя системный реестр, системные службы или специальные системные файлы, программа может обеспечивать свой запуск или запуск созданных ею файлов при каждой следующей загрузке ОС Windowsавтозагрузку установленных файлов:
путем прописывания в ключах автозапуска системного реестра
Вредоносная активность
После запуска открывает различные URL-ссылки
Прочие действия
Выполняет запуск определенных файлов (команд)
Удаляет определенные файлы на зараженном компьютере
RSS-каналы
