Trojan-Downloader.Win32.Small.cof

Технические детали

Троянская программа, загружающая из интернета файлы без ведома пользователя. Является приложением Windows (PE EXE-файл). Написана на ассемблере. Размер зараженного файла — 12 800 байт.

Инсталляция

При запуске троянец копирует себя в корневой каталог Windows с именем sysvx_.exe:

%WinDir%\sysvx_.exe

Затем регистрирует этот файл в ключе автозапуска системного реестра:

При каждой следующей загрузке Windows автоматически запустит файл-троянец.

Также троянец создает в системном каталоге Windows следующие файлы:

• %System%\comdlg64.dll (4925 байт; детектируется Антивирусом Касперского, как Rootkit.Win32.Agent.bk)
• %System%\sysvx.exe (6028 байт; детектируется Антивирусом Касперского, как Email-Worm.Win32.Locksky.aj)

Деструктивная активность

После запуска программа вызывает функцию «hide__» из созданной ей библиотеки comdlg64.dll. В результате троянец перехватывает несколько функций операционной системы. Программа скрывает из списка процессов процессы, в имени exe-файла которых присутствуют строки «sysv», а также значения реестра, имена которых содержат строку «sysv». В результате значение реестра, отвечающее за автозагрузку программы не видно в редакторе реестра, а процессы, соответствующие вредоносной программе становятся не видны в диспетчере задач.

Созданный файл sysvx.exe запускается с параметром командной строки — случайным числом, большим 2000. Данное число является номером TCP-порта, прослушиваемого программой.

Во время выполнения троянец ждёт подключения к интернету. После подключения программа периодически выполняет следующие действия:

• выполняет HTTP-запрос к URL, в параметрах которого передаёт следующие данные:
  • уникальный идентификатор компьютера;
  • его IP адрес;
  • скорость интернета;
  • параметры соединения с Интернетом (через модем, локальную сеть, Proxy и т.п.);
  • номер порта, на котором программа sysvx.exe ожидает соединения.
• во время выполнения периодически проверяет наличие в интернете своих обновлений. Если таковые имеются, они загружаются во временный каталог (%Temp%) в файлы со случайными именами и запускаются.

С URL http://**.255.117.157/synctl/loader.pl троянец получает адрес (URL), с которого загружается другая программа и запускается. Программа сохраняется во временном каталоге (%Temp%) с произвольным именем. Также троянец получает с URL http://**.255.117.157/synctl/upd/ddos.txt файл, в котором находится адрес (URL), к которому через каждые 7 секунд производится 15 запросов подряд.Таким образом при помощи данного троянца возможно производить DoS-атаки.

Действия, выполняемые файлом sysvx.exe

Если программа запущена без параметров, её выполнение завершается. Иначе программа слушает TCP-порт, номер которого указан в параметрах командной строки. После того, как соединение на этом порту установлено, программа получает по нему имя или IP-адрес компьютера, с которым требуется установить соединение, и начинает работать как proxy-сервер между этими двумя компьютерами. Поддерживаются протоколы IP, TCP, UDP.

Рекомендации по удалению

1. Перезагрузить компьютер в «безопасном режиме» (в самом начале загрузки компьютера нажать и удерживать F8, а затем выбрать пункт Safe Mode в меню загрузки Windows).
2. Удалить следующий ключ реестра:
   [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
   "sysvx"="%WinDir%\sysvx_.exe"
3. Удалить следующие файлы:

   %System%\comdlg64.dll
   %System%\sysvx.exe
   %WinDir%\sysvx_.exe

4. Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).