Trojan-Downloader.Win32.Small.cdk

Технические детали

Троянская программа, осуществляющая без ведома пользователя загрузку и установку на компью-тер-жертву новых версий вредоносных программ.

Является приложением Windows (PE EXE-файл). Имеет размер около 6 КБ. Упакована при помощи NsPack, размер распакованного файла — около 32 КБ.

Программа написана на Visual C++.

Деструктивная активность

После запуска троянец создает ключ для определения своего повторного запуска:

(В различных версиях данного троянца цифры в созданном параметре могут варьироваться).

Троянец следит за деятельностью файрволов в системе (Agnitum Outpost, ZoneAlarm, стандартный файрвол Windows XP SP2), автоматически разрешая себе неограниченный доступ к интернету (путем поиска окон, запрашивающих защитные действия у пользователя, и установки разрешающих пра-вил).

Например, троянец ищет окна Agnitum Outpost со следующими заголовками:

И ставит галочки «Allow all activities for this application» и жмет в них кнопки «ОК».

Также троянец скачивает и запускает на исполнение на локальном компьютере следующие файлы (на момент создания описания, приведенные ссылки не работали):

• http://iframeurl.biz/***/dl.php?adv=adv470 — сохраняет как %Windir%\uniq;
• http://iframeurl.biz/***/kl.txt — сохраняет как %Windir%\kl.exe;
• http://iframeurl.biz/***/tool2.txt — сохраняет как %Windir%\tool2.exe;
• http://iframeurl.biz/***/country.php — сохраняет как %Windir%\country.exe;
• http://iframeurl.biz/***/secure32.php — сохраняет как %Windir%\secure32.html;
• http://iframeurl.biz/***/paytime.txt — сохраняет как %System%\paytime.exe;
• http://iframeurl.biz/***/hosts.txt — сохраняет как %Windir%\hosts;
• http://iframeurl.biz/***/dluniq..... — сохраняет как %Windir%\uniq.

На итальянских локализациях операционных систем троянец скачивает следующий файл:

• http://iframeurl.biz/***/it.txt — сохраняет как %Windir%\countrydial.exe и запускает на исполне-ние.

На не итальянских локализациях операционных систем троянец скачивает и запускает на исполне-ние следующие файлы:

• http://iframeurl.biz/***/tool1.txt — сохраняет как %Windir%\tool1.exe;
• http://iframeurl.biz/***/tool3.txt — сохраняет как %Windir%\tool3.exe;
• http://iframeurl.biz/***/tool4.txt — сохраняет как %Windir%\tool4.exe;
• http://iframeurl.biz/***/tool5.txt — сохраняет как %Windir%\tool5.exe;
• http://iframeurl.biz/***/ms1.php — сохраняет как %Windir%\ms1.exe.

Рекомендации по удалению

1. При помощи «Диспетчера задач» завершить троянский процесс.
2. Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
3. Удалить следующий ключ в системном реестре:
   [HKCU\Software\Microsoft\Windows\CurrentVersion]
    "adv470"="adv470"
4. Завершить процессы и удалить следующие файлы:
   • %System%\paytime.exe
   • %Windir%\country.exe
   • %Windir%\countrydial.exe
   • %Windir%\hosts
   • %Windir%\kl.exe
   • %Windir%\ms1.exe
   • %Windir%\secure32.html
   • %Windir%\tool1.exe
   • %Windir%\tool2.exe
   • %Windir%\tool3.exe
   • %Windir%\tool4.exe
   • %Windir%\tool5.exe
   • %Windir%\uniq
5. Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).