Trojan-Downloader.Win32.Geral.cnh

Технические детали
Деструктивная активность
Рекомендации по удалению

Технические детали

Червь, создающий свои копии на локальных и доступных для записи съемных дисках. Является приложением Windows (PE-EXE файл). Имеет размер 978432 байта. Упакован Upack. Распакованный размер – около 1107 КБ. Написан на C++.

Распространение

Червь копируется на все доступные для записи логические и съемные диски под следующим именем:

Вместе с исполняемым файлом червя помещается файл:

<имя зараженного раздела>:\AUTORUN.INF
следующего содержания:
[AutoRun]
open=recycle.{645FF040-5081-101B-9F08-00AA002F954E}\kav32.exe
shell\open=+ª¬ê(&O)
shell\open\Command=recycle.{645FF040-5081-101B-9F08-00AA002F954E}\kav32.exe
shell\open\Default=1
shell\explore=+¦L+¦-Lý¦¢(&X)
shell\explore\Command=recycle.{645FF040-5081-101B-9F08-00AA002F954E}\kav32.exe

Это позволяет червю запускаться каждый раз, когда пользователь открывает зараженный раздел при помощи программы "Проводник".

Созданным файлам присваиваются атрибуты "скрытый" (hidden) и "системный" (system).

Деструктивная активность

После запуска червь выполняет следующие действия:

• копирует свое тело в файл:

  %System%\scvhost.exe

• Для контроля уникальности своего процесса в системе создает уникальный идентификатор с именем:

  YGTesT...QQ...

• Запускает системный командный интерпретатор "cmd.exe" со следующими параметрами:

  /c taskkill.exe /im ekrn.exe /f
  /c taskkill.exe /im egui.exe /f
  

  Это приводит к завершению процессов "ekrn.exe", "egui.exe".

  /c net stop wscsvc
  /c net stop SharedAccess
  

  Таким образом, останавливаются службы "wscsvc", "SharedAccess".

  /c sc config sharedaccess start= disabled
  /c sc config ekrn start= disabled
  

  Это отменяет автоматический запуск служб "sharedaccess", "ekrn".
• Извлекает из своего тела файлы, которые сохраняются в системе как

  %WinDir%\ee<rnd_1>t.dll

  (40960 байт; детектируется Антивирусом Касперского как "Trojan-Downloader.Win32.Geral.dut")

  %WinDir%\extext<rnd_2>t.exe

  (11776 байт; детектируется Антивирусом Касперского как "Trojan-Downloader.Win32.Geral.blu")

  %System%\drivers\pcidump.sys

  (11904 байта; детектируется Антивирусом Касперского как "Rootkit.Win32.Agent.fia") где <rnd_1> и <rnd_2> – случайные девятизначные десятичные числа.
• Запускает системную утилиту "rundll32.exe" со следующими параметрами:

  %WinDir%\ee<rnd_1>t.dll testall

  Таким образом, из извлеченной библиотеки вызывается функция "testall".
• Запускает на выполнение извлеченный ранее файл:

  %WinDir%\extext<rnd_2>t.exe

• Создает и запускает в системе службу с именем "pcidump", бинарным файлом которой является извлеченный ранее файл:

  %System%\drivers\pcidump.sys

• Для удаления своего оригинального файла после завершения его работы создает и запускает сценарий командного интерпретатора:

  %WorkDir%\_temp.bat

  следующего содержания:

  @echo off
  @echo ad32rwhlk>>321.aqq
  @echo ad32rwhlk>>321.aqq@echo ad32rwhlk>>321.aqq
  @echo ad32rwhlk>>321.aqq
  @echo ad32rwhlk>>321.aqq
  @echo ad32rwhlk>>321.aqq
  @echo ad32rwhlk>>321.aqq
  @echo ad32rwhlk>>321.aqq
  @echo ad32rwhlk>>321.aqq
  @echo ad32rwhlk>>321.aqq
  @del 321.aqq
  @del "<полный путь к оригинальному файлу червя>"
  @del _temp.bat
  @exit
  

При этом сам сценарий также удаляется.

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

1. При помощи Диспетчера задач завершить троянский процесс.
2. Удалить ветви системного реестра (как работать с реестром?):

   [HKLM\System\ControlSet001\Services\pcidump]
   [HKLM\System\CurrentControlSet\Services\pcidump]
   

3. Перезагрузить компьютер.
4. Удалить файлы:
   <имя зараженного раздела>:\recycle.{645FF040-5081-101B-9F08-
   00AA002F954E}\kav32.exe
   <имя зараженного раздела>:\AUTORUN.INF
   %System%\scvhost.exe
   %WinDir%\ee<rnd_1>t.dll
   %WinDir%\extext<rnd_2>t.exe
   %System%\drivers\pcidump.sys
5. Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).