Trojan-Ransom.Win32.DigiPog.xp

Технические детали

Троянская программа, блокирующая нормальную работу компьютера с целью получить выкуп за восстановление исходного состояния системы. Является приложением Windows (PE-EXE файл). Имеет размер 151040 байт. Написана на C++.

Инсталляция

После запуска троянец выполняет следующие действия:

• пытается выгрузить из системной памяти следующие процессы:

  Tmas.exe
  ekrn.exe
  gcasServ.exe
  msscli.exe
  avp.exe
  dwengine.exe
  avastsvc.exe
  avguard.exe
  winroute.exe
  zlclient.exe
  op_mon.exe
  

• Останавливает работу службы "SharedAccess".
• Пытается вызвать функции с именами "__register_frame_info", "_Jv_RegisterClasses" соответственно из следующих библиотек:

  %WorkDir%\libgcc_s_dw2-1.dll
  %WorkDir%\libgcj_s.dll
  

• Для идентификации своего присутствия в системе создает файл:

  %USERPROFILE%\Application Data\efhhcwck.ddr (1598 байт)

  а также ключ системного реестра:

  [HKLM\Software\Microsoft\Windows\CurrentVersion\
  Internet Settings\5.0\User Agent\Post Platform]
  "0X29A"
  

• Копирует свое тело в следующий файл:

  %USERPROFILE%\Application Data\efhhcwck.exe

• Для автоматического запуска созданной копии при каждом следующем старте системы создаются ключи системного реестра:

  [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
  "PC Health Status" = "%USERPROFILE%\Application Data\efhhcwck.exe"
  
  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
  "PC Health Status" = "%USERPROFILE%\Application Data\efhhcwck.exe"
  

  а также ярлык:

  %USERPROFILE%\Start Menu\Programs\Startup\healm_jamc.lnk

  указывающий на созданную копию.
• Запускает на выполнение созданную копию. Копия запускается дважды: первый раз без параметров, второй - с параметром "DNNL". В системе всегда будут запущены 2 экземпляра процесса "efhhcwck.exe". В случае завершения одного из процессов, он будет заново запущен вторым процессом.
• В процессе инсталляции троянец отображает следующие окна:

  

  

  

• Кроме того, троянец отправляет на сервер злоумышленника

  188.***.168

  следующие HTTP-запросы:

  HTTP/1.0
  GET
  /_req/?type=e&sid=2&sw=00000000000000000&ostype=
  2&ossp=2&osbits=0&osfwtype=2&osrights=255
  /_req/?type=m&sid=2&sw=00000000000000000
  

Деструктивная активность

После запуска троянец выполняет следующие действия:

• удаляет свой оригинальный файл, считывая путь из файла

  %USERPROFILE%\Application Data\efhhcwck.ddr

• Для контроля уникальности своего процесса в системе создает уникальный идентификатор с именем:

  Global\dobeDNNLjpgo

• Создает следующие ключи системного реестра:

  [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
  "DisableTaskMgr" = "1"
  
  [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
  "NoLogoff" = "1"
  

  Таким образом, блокируется запуск Диспетчера задач, а также скрывается подменю Завершение работы в меню Пуск.
• Блокирует доступ к Интернет браузера Internet Explorer, изменяя настройки его прокси-сервера:

  [HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings]
  "MigrateProxy" = "1"
  "ProxyEnable" = "1"
  "ProxyServer" = "http=127.0.0.1:41653;"
  

  При этом удаляются ключи:

  [HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings]
  "ProxyOverride"
  "AutoConfigURL"
  

  Вышеперечисленные ключи создаются и удаляются в бесконечном цикле.
• При работе пользователя с другими браузерами блокируется доступ к следующим сайтам:

  www.drweb.com/unlocker
  www.esetnod32.ru/.support/winlock
  http://virusinfo.info/deblocker
  http://support.kaspersky.ru/viruses/deblocker
  

• В бесконечном цикле завершаются процессы:

  far.exe
  msconfig.exe
  taskmgr.exe
  taskkill.exe
  avz.exe
  regedit.exe
  procmon.exe
  

• Отображает поверх всех открытых окон в правом нижнем углу экрана окно следующего вида:

  

• Отправляет на сервер злоумышленника

  188.***.168

  запрос:

  HTTP/1.0
  GET
  _req/?type=s&sid=2&sw=00000000000000001&ostype=2&ossp=
  2&osbits=0&osfwtype=2&osrights=255
  

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

1. Перезагрузить компьютер в «безопасном режиме» (в самом начале загрузки нажать и удерживать клавишу «F8», затем выбрать пункт «Safe Mode» в меню загрузки Windows).
2. Удалить файлы:

   %USERPROFILE%\Application Data\efhhcwck.ddr 
   %USERPROFILE%\Application Data\efhhcwck.exe
   %USERPROFILE%\Start Menu\Programs\Startup\healm_jamc.lnk
   

3. Удалить ключи системного реестра (как работать с реестром?):

   [HKLM\Software\Microsoft\Windows\CurrentVersion\Internet 
   Settings\5.0\User Agent\Post Platform]
   "0X29A"
   
   [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
   "PC Health Status" = "%USERPROFILE%\Application Data\efhhcwck.exe"
   
   [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   "PC Health Status" = "%USERPROFILE%\Application Data\efhhcwck.exe"
   
   [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
   "DisableTaskMgr" = "1"
   
   [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
   "NoLogoff" = "1"
   

4. Восстановить оригинальное значение ключей системного реестра (как работать с реестром?):

   [HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings]
   "MigrateProxy"
   "ProxyEnable"
   "ProxyServer"
   "ProxyOverride"
   "AutoConfigURL"
   

5. Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).

Резюме

• Выполняет потенциально-опасные действия

Технические детали

Имеет размер 151040 байт.

Инсталляция

После запуска создает свои копии под следующими именами:

• Каталог текущего пользователя (обычно, C:\Documents and Settings\<Имя_текущего_пользователя>)%UserDir%\Application Data\buoucwrh.exe

Создает следующие файлы на зараженном компьютере:

• Каталог текущего пользователя (обычно, C:\Documents and Settings\<Имя_текущего_пользователя>)%UserDir%\Application Data\buoucwrh.ddr

Обеспечивает Используя системный реестр, системные службы или специальные системные файлы, программа может обеспечивать свой запуск или запуск созданных ею файлов при каждой следующей загрузке ОС Windowsавтозагрузку следующих установленных файлов:

путем прописывания в ключах автозапуска системного реестра:

[ Ветка системного реестра HKEY_LOCAL_MACHINEHKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run ] "PC Health Status" = " Каталог текущего пользователя (обычно, C:\Documents and Settings\<Имя_текущего_пользователя>)%UserDir%\Application Data\buoucwrh.exe"

[ Ветка системного реестра HKEY_CURRENT_USERHKCU\Software\Microsoft\Windows\CurrentVersion\Run ] "PC Health Status" = " Каталог текущего пользователя (обычно, C:\Documents and Settings\<Имя_текущего_пользователя>)%UserDir%\Application Data\buoucwrh.exe"

Вредоносная активность

Для определения своего присутствия в системе создает уникальные идентификаторы "mutex"

• Global\precgptpcwrh
• Global\dobeQUQOmsug

Прочие действия

Производит запуск следующих файлов (команд):

• \" Каталог текущего пользователя (обычно, C:\Documents and Settings\<Имя_текущего_пользователя>)%UserDir%\Application Data\buoucwrh.exe\" QUQO

Изменяет следующие ключи системного реестра:

[ Ветка системного реестра HKEY_LOCAL_MACHINEHKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\5.0\User Agent\Post Platform ] "0X29A" = ""

Удаляет следующие файлы на зараженном компьютере:

• Каталог текущего пользователя (обычно, C:\Documents and Settings\<Имя_текущего_пользователя>)%UserDir%\Application Data\12560921794
• Каталог текущего пользователя (обычно, C:\Documents and Settings\<Имя_текущего_пользователя>)%UserDir%\Application Data\buoucwrh.exe12560926327
• Каталог текущего пользователя (обычно, C:\Documents and Settings\<Имя_текущего_пользователя>)%UserDir%\Start Menu\Programs\Startup\healm_gptp.lnk