Trojan-Downloader.Win32.Small.kpk

Технические детали

Троянская программа, загружающая файлы из сети Интернет без ведома пользователя и запускающая их. Является приложением Windows (PE-EXE файл). Имеет размер 7168 байт. Написана на C++.

Деструктивная активность

После запуска троянец выполняет следующие действия:

• для контроля уникальности своего процесса в системе создает уникальный идентификатор с именем:

  EliteMtx

• находит в системе окно с именем "Shell_TrayWnd", и внедряет в адресное пространство процесса, соответствующего данному окну ("EXPLORER.EXE"), исполняемый код, реализующий функционал загрузчика. Файл загружается по ссылке:

  http://a.do***kgb.co.cc/top.jpg 
  (на момент создания описания ссылка не работала)
  

  и сохраняется в системе как

  %USERPROFILE%\Application Data\<rnd>.exe

  где <rnd> – случайное восьмизначное десятичное число.

  Кроме того, запускается браузер Internet Explorer:

  %Program Files%\Internet Explorer\iexplore.exe

• Запускает процесс "calc.exe" с флагом "CREATE_SUSPENDED" и внедряет в его адресное пространство код, удаляющий оригинальный файл троянца после завершения его работы. После этого троянец завершает свою работу.

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

1. Удалить файл:

   %USERPROFILE%\Application Data\<rnd>.exe

2. Очистить каталог Temporary Internet Files, который может содержать инфицированные файлы (Как удалить инфицированные файлы в папке Temporary Internet Files?).
3. Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).

Резюме

• Trojan-Dropper. Скрытно устанавливает в систему другие вредоносные программы

• Trojan. Выполняет действия, характерные для вредоносных программ

Технические детали

Имеет размер 7168 байт.

Инсталляция

Создает следующие файлы на зараженном компьютере:

• Каталог для хранения временных файлов ОС Windows (обычно, C:\Documents and Settings\<Имя_текущего_пользователя>\Local Settings\Temp)%Temp%\2.tmp (­детектируется антивирусом Касперского как­ Trojan.Win32.AntiAV.gkj)
• Каталог для хранения временных файлов ОС Windows (обычно, C:\Documents and Settings\<Имя_текущего_пользователя>\Local Settings\Temp)%Temp%\1.tmp (­детектируется антивирусом Касперского как­ Trojan.Win32.AntiAV.gkj)
• Каталог для хранения временных файлов ОС Windows (обычно, C:\Documents and Settings\<Имя_текущего_пользователя>\Local Settings\Temp)%Temp%\3.tmp (­детектируется антивирусом Касперского как­ Rootkit.Win32.Agent.bfqa)
• Системный каталог ОС Windows (обычно, C:\Windows\System32)%System%\rmoc3260.tlb (­детектируется антивирусом Касперского как­ Trojan.Win32.AntiAV.gkj)
• Каталог для хранения временных файлов ОС Windows (обычно, C:\Documents and Settings\<Имя_текущего_пользователя>\Local Settings\Temp)%Temp%\4.tmp
• Каталог для хранения временных файлов ОС Windows (обычно, C:\Documents and Settings\<Имя_текущего_пользователя>\Local Settings\Temp)%Temp%\5.tmp
• Стандартный каталог установленных программ в ОС Windows (обычно, C:\Program Files)%Program Files%\Real\pnen3260.dll (­детектируется антивирусом Касперского как­ Trojan.Win32.AntiAV.gkj)
• Стандартный каталог установленных программ в ОС Windows (обычно, C:\Program Files)%Program Files%\Common Files\real\Plugins\xmlp1092c.dll
• Стандартный каталог установленных программ в ОС Windows (обычно, C:\Program Files)%Program Files%\ComPlus Applications\pncrt.dll (­детектируется антивирусом Касперского как­ Trojan-Downloader.Win32.Agent.ebhm)
• Каталог ОС Windows (обычно, C:\Windows)%Windir%\AppPatch\AcXtrnal.xml
• Системный каталог ОС Windows (обычно, C:\Windows\System32)%System%\divxdec.dll (­детектируется антивирусом Касперского как­ Trojan.Win32.Agent.epxi)
• Каталог для хранения временных файлов ОС Windows (обычно, C:\Documents and Settings\<Имя_текущего_пользователя>\Local Settings\Temp)%Temp%\A.tmp
• Каталог для хранения временных файлов ОС Windows (обычно, C:\Documents and Settings\<Имя_текущего_пользователя>\Local Settings\Temp)%Temp%\B.tmp
• Стандартный каталог установленных программ в ОС Windows (обычно, C:\Program Files)%Program Files%\ComPlus Applications\spcommon.dll
• Каталог текущего пользователя (обычно, C:\Documents and Settings\<Имя_текущего_пользователя>)%UserDir%\Application Data\Tencent\~DFD.exe
• Каталог текущего пользователя (обычно, C:\Documents and Settings\<Имя_текущего_пользователя>)%UserDir%\Application Data\Tencent\~DFE.exe (­детектируется антивирусом Касперского как­ Trojan.Win32.Sasfis.anfn)
• Каталог текущего пользователя (обычно, C:\Documents and Settings\<Имя_текущего_пользователя>)%UserDir%\Application Data\Tencent\~DFF.exe
• Каталог текущего пользователя (обычно, C:\Documents and Settings\<Имя_текущего_пользователя>)%UserDir%\Application Data\Tencent\~DF10.exe (­детектируется антивирусом Касперского как­ Trojan.Win32.Sasfis.ammo)
• Каталог текущего пользователя (обычно, C:\Documents and Settings\<Имя_текущего_пользователя>)%UserDir%\Application Data\Tencent\~DF11.exe (­детектируется антивирусом Касперского как­ Trojan.Win32.Sasfis.anip)
• Каталог текущего пользователя (обычно, C:\Documents and Settings\<Имя_текущего_пользователя>)%UserDir%\Application Data\Tencent\~DF12.exe (­детектируется антивирусом Касперского как­ Trojan.Win32.Sasfis.anio)
• Каталог текущего пользователя (обычно, C:\Documents and Settings\<Имя_текущего_пользователя>)%UserDir%\Application Data\Tencent\~DF13.exe

Вредоносная активность

Создает следующие файлы:

• Каталог текущего пользователя (обычно, C:\Documents and Settings\<Имя_текущего_пользователя>)%UserDir%\Application Data\127562.exe
• Стандартный каталог установленных программ в ОС Windows (обычно, C:\Program Files)%Program Files%\Real\atrc32.dll (­детектируется антивирусом Касперского как­ Trojan.Win32.AntiAV.gkj)
• Каталог текущего пользователя (обычно, C:\Documents and Settings\<Имя_текущего_пользователя>)%UserDir%\Application Data\Tencent\~DF6.exe
• Каталог текущего пользователя (обычно, C:\Documents and Settings\<Имя_текущего_пользователя>)%UserDir%\Application Data\Tencent\~DF7.exe (­детектируется антивирусом Касперского как­ Trojan.Win32.Sasfis.anil)
• Каталог текущего пользователя (обычно, C:\Documents and Settings\<Имя_текущего_пользователя>)%UserDir%\Application Data\Tencent\~DF8.exe (­детектируется антивирусом Касперского как­ Trojan.Win32.Inject.acwr)
• Каталог текущего пользователя (обычно, C:\Documents and Settings\<Имя_текущего_пользователя>)%UserDir%\Application Data\Tencent\~DF9.exe
• Каталог текущего пользователя (обычно, C:\Documents and Settings\<Имя_текущего_пользователя>)%UserDir%\Application Data\Tencent\~DFC.exe (­детектируется антивирусом Касперского как­ Trojan.Win32.Sasfis.aniq)

После чего обеспечивается Используя системный реестр, системные службы или специальные системные файлы, программа может обеспечивать свой запуск или запуск созданных ею файлов при каждой следующей загрузке ОС Windowsавтозагрузка установленных файлов:

путем прописывания в ключах автозапуска системного реестра:

[ Ветка системного реестра HKEY_LOCAL_MACHINEHKLM\SOFTWARE\Classes\CLSID\{AD26AC5F-8421-419C-8692-ED1FE74D0FE8}\InprocServer32 ] "(default)" = " Стандартный каталог установленных программ в ОС Windows (обычно, C:\Program Files)%Program Files%\Real\atrc32.dll"

Следующие файлы запускаются на исполнение:

• Каталог текущего пользователя (обычно, C:\Documents and Settings\<Имя_текущего_пользователя>)%UserDir%\Application Data\127562.exe
• Каталог текущего пользователя (обычно, C:\Documents and Settings\<Имя_текущего_пользователя>)%UserDir%\Application Data\Tencent\~DF6.exe
• Каталог текущего пользователя (обычно, C:\Documents and Settings\<Имя_текущего_пользователя>)%UserDir%\Application Data\Tencent\~DF7.exe
• Каталог текущего пользователя (обычно, C:\Documents and Settings\<Имя_текущего_пользователя>)%UserDir%\Application Data\Tencent\~DF8.exe
• Каталог текущего пользователя (обычно, C:\Documents and Settings\<Имя_текущего_пользователя>)%UserDir%\Application Data\Tencent\~DF9.exe
• Каталог текущего пользователя (обычно, C:\Documents and Settings\<Имя_текущего_пользователя>)%UserDir%\Application Data\Tencent\~DFC.exe

Для защиты от антивирусных и других программ, обеспечивающих безопасность компьютера, пытается принудительно завершить их исполнениеВыгружает из памяти следующие процессы антивирусных и других средств защиты:

• ­NOD32 Virus-Scanner­
• ­360Tray­
• ­Kaspersky Anti-Virus­

Внедряет свой код в следующие процессы:

• explorer.exe
• calc.exe
• IEXPLORE.EXE
• smss.exe
• csrss.exe
• winlogon.exe
• services.exe
• lsass.exe
• svchost.exe
• spoolsv.exe
• reader_sl.exe
• Avp32.exe
• Avpcc.exe
• Avpm.exe
• Avpupd.exe
• CCenter.exe
• Fsgk32.exe
• KavPFW.exe
• NISSERV.EXE
• Navrunr.exe
• Navw32.exe

Модифицирует (удаляет) системные файлы ОС Windows:

• Системный каталог ОС Windows (обычно, C:\Windows\System32)%System%\mswsock.dll

С целью препятствия работе антивирусных средств удаляет (или изменяет) следующие ключи системного реестра:

[ Ветка системного реестра HKEY_LOCAL_MACHINEHKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360tray.exe ] "Debugger" = "ntsd -d"

Описание:
­360Safe­

[ Ветка системного реестра HKEY_LOCAL_MACHINEHKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\safeboxtray.exe ] "Debugger" = "ntsd -d"

Описание:
­360Safe­

[ Ветка системного реестра HKEY_LOCAL_MACHINEHKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avp.exe ] "Debugger" = "ntsd -d"

Описание:
­Kaspersky AntiVirus­

[ Ветка системного реестра HKEY_LOCAL_MACHINEHKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kavstart.exe ] "Debugger" = "ntsd -d"

Описание:
­Kingsoft AntiVirus­

[ Ветка системного реестра HKEY_LOCAL_MACHINEHKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\rstray.exe ] "Debugger" = "ntsd -d"

Описание:
­Rising AntiVirus­

[ Ветка системного реестра HKEY_LOCAL_MACHINEHKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\nod32krn.exe ] "Debugger" = "ntsd -d"

Описание:
­Определяет программу, которая будет использоваться для отладки указанного файла. Может использоваться вредоносными программами для обеспечения своего запуска­

[ Ветка системного реестра HKEY_LOCAL_MACHINEHKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ekrn.exe ] "Debugger" = "ntsd -d"

Описание:
­NOD32 AntiVirus­

[ Ветка системного реестра HKEY_LOCAL_MACHINEHKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\egui.exe ] "Debugger" = "ntsd -d"

Описание:
­NOD32 AntiVirus­

[ Ветка системного реестра HKEY_LOCAL_MACHINEHKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360sd.exe ] "Debugger" = "ntsd -d"

Описание:
­Определяет программу, которая будет использоваться для отладки указанного файла. Может использоваться вредоносными программами для обеспечения своего запуска­

Обращается к следующим адресам в Интернете:

• http://***.u3s.info/top.jpg
• http://***.y5s.info:443/a/0.jpg
• http://***.y5s.info:443/a/1.jpg
• http://***.y5s.info:443/a/2.jpg
• http://***.y5s.info:443/a/3.jpg
• http://***.y5s.info:443/a/4.jpg
• http://***.y5s.info:443/a/5.jpg
• http://***.y5s.info:443/a/6.jpg
• http://***.y5s.info:443/a/7.jpg
• http://***.y5s.info:443/a/8.jpg
• http://***.y5s.info:443/a/9.jpg
• http://***.y5s.info:443/a/10.jpg
• http://***.y5s.info:443/a/11.jpg
• http://***.y5s.info:443/b/1.jpg
• http://***.y5s.info:443/b/2.jpg

Для определения своего присутствия в системе создает уникальные идентификаторы "mutex"

• EliteMtx
• Safe32.MutantName
• _!RKU#PNP#090921!_
• _!RKU#.{900EF3B9-6547-756E-696E-65496E74656C}!_
• MLIB_LOG_MUTEX

Пытается найти файлы на компьютере пользователя по следующим маскам:

• *.*
• *

Прочие действия

Производит запуск следующих файлов (команд):

• Системный каталог ОС Windows (обычно, C:\Windows\System32)%System%\calc.exe (­осуществляется многократный запуск­)

Ищет следующие окна:

Класс:	Shell_TrayWnd
Класс:	Acrobat Viewer

Изменяет следующие ключи системного реестра:

[ Ветка системного реестра HKEY_LOCAL_MACHINEHKLM\SYSTEM\ControlSet001\Services\00021032 ] "ErrorControl" = "0x0"

[ Ветка системного реестра HKEY_LOCAL_MACHINEHKLM\SYSTEM\ControlSet001\Services\00021032 ] "Start" = "0x3"

[ Ветка системного реестра HKEY_LOCAL_MACHINEHKLM\SYSTEM\ControlSet001\Services\00021032 ] "Type" = "0x1"

[ Ветка системного реестра HKEY_LOCAL_MACHINEHKLM\SYSTEM\ControlSet001\Services\00021032 ] "ImagePath" = "\??\ Каталог для хранения временных файлов ОС Windows (обычно, C:\Documents and Settings\<Имя_текущего_пользователя>\Local Settings\Temp)%Temp%\3.tmp"

[ Ветка системного реестра HKEY_LOCAL_MACHINEHKLM\SOFTWARE\Classes\CLSID\{AD26AC5F-8421-419C-8692-ED1FE74D0FE8}\InprocServer32 ] "ThreadingModel" = "Apartment"

[ Ветка системного реестра HKEY_LOCAL_MACHINEHKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad ] "RealCodec" = "{AD26AC5F-8421-419C-8692-ED1FE74D0FE8}"

Описание:
­Определяет модули, которые будут запущены при загрузке процесса Explorer.exe­

Удаляет следующие ключи системного реестра:

[ Ветка системного реестра HKEY_LOCAL_MACHINEHKLM\SYSTEM\CurrentControlSet\Services\00021032 ]

[ Ветка системного реестра HKEY_LOCAL_MACHINEHKLM\SYSTEM\ControlSet001\Services\00021032\Enum ]

Удаляет следующие файлы на зараженном компьютере:

• Каталог для хранения временных файлов ОС Windows (обычно, C:\Documents and Settings\<Имя_текущего_пользователя>\Local Settings\Temp)%Temp%\2.tmp
• Каталог для хранения временных файлов ОС Windows (обычно, C:\Documents and Settings\<Имя_текущего_пользователя>\Local Settings\Temp)%Temp%\1.tmp
• Каталог для хранения временных файлов ОС Windows (обычно, C:\Documents and Settings\<Имя_текущего_пользователя>\Local Settings\Temp)%Temp%\3.tmp
• Системный каталог ОС Windows (обычно, C:\Windows\System32)%System%\rmoc3260.tlb
• Каталог для хранения временных файлов ОС Windows (обычно, C:\Documents and Settings\<Имя_текущего_пользователя>\Local Settings\Temp)%Temp%\4.tmp
• Каталог для хранения временных файлов ОС Windows (обычно, C:\Documents and Settings\<Имя_текущего_пользователя>\Local Settings\Temp)%Temp%\5.tmp
• Каталог для хранения временных файлов ОС Windows (обычно, C:\Documents and Settings\<Имя_текущего_пользователя>\Local Settings\Temp)%Temp%\A.tmp
• Каталог текущего пользователя (обычно, C:\Documents and Settings\<Имя_текущего_пользователя>)%UserDir%\Application Data\Tencent\~DF6.tmp
• Каталог текущего пользователя (обычно, C:\Documents and Settings\<Имя_текущего_пользователя>)%UserDir%\Application Data\Tencent\~DF7.tmp
• Каталог текущего пользователя (обычно, C:\Documents and Settings\<Имя_текущего_пользователя>)%UserDir%\Application Data\Tencent\~DF8.tmp
• Каталог текущего пользователя (обычно, C:\Documents and Settings\<Имя_текущего_пользователя>)%UserDir%\Application Data\Tencent\~DF9.tmp
• Каталог текущего пользователя (обычно, C:\Documents and Settings\<Имя_текущего_пользователя>)%UserDir%\Application Data\Tencent\~DFC.tmp
• Каталог текущего пользователя (обычно, C:\Documents and Settings\<Имя_текущего_пользователя>)%UserDir%\Application Data\Tencent\~DFD.tmp
• Каталог текущего пользователя (обычно, C:\Documents and Settings\<Имя_текущего_пользователя>)%UserDir%\Application Data\Tencent\~DFE.tmp
• Каталог текущего пользователя (обычно, C:\Documents and Settings\<Имя_текущего_пользователя>)%UserDir%\Application Data\Tencent\~DFF.tmp
• Каталог текущего пользователя (обычно, C:\Documents and Settings\<Имя_текущего_пользователя>)%UserDir%\Application Data\Tencent\~DF10.tmp
• Каталог текущего пользователя (обычно, C:\Documents and Settings\<Имя_текущего_пользователя>)%UserDir%\Application Data\Tencent\~DF11.tmp
• Каталог текущего пользователя (обычно, C:\Documents and Settings\<Имя_текущего_пользователя>)%UserDir%\Application Data\Tencent\~DF12.tmp
• Каталог текущего пользователя (обычно, C:\Documents and Settings\<Имя_текущего_пользователя>)%UserDir%\Application Data\Tencent\~DF13.tmp
• Каталог текущего пользователя (обычно, C:\Documents and Settings\<Имя_текущего_пользователя>)%UserDir%\Application Data\Tencent\~DF14.tmp
• Каталог текущего пользователя (обычно, C:\Documents and Settings\<Имя_текущего_пользователя>)%UserDir%\Application Data\Tencent\~DF16.tmp