Trojan-Downloader.Win32.FraudLoad.xfms

Технические детали

Троянская программа, устанавливающая другие программы на компьютере пользователя без его ведома. Является приложением Windows (PE-EXE файл). Имеет размер 27136 байт. Написана на C++.

Деструктивная активность

После запуска троянец выполняет следующие действия:

• извлекает из своего тела файл, который сохраняется в каталоге хранения временных файлов текущего пользователя под случайным именем:

  %Temp%\<rnd>.vbs (3291 байт)

  где <rnd> – случайное восьмизначное шестнадцатеричное число (например: "4cc57c8a").
• Запускает извлеченный файл при помощи системного командного интерпретатора:

  cmd.exe /c %Temp%\<rnd>.vbs

• Для удаления своего оригинального файла после завершения его работы запускает системный командный интерпретатор с параметрами:

  /c del <полный путь к оригинальному файлу троянца> > nul

  После этого троянец завершает свою работу.

  Извлеченный троянцем файл является VBS-скриптом, реализующим функционал загрузчика. После запуска данный файл, используя уязвимость в ActiveX компоненте "XMLHTTP", загружает из сети Интернет файл по следующей ссылке:

  http://the*sat.info/PCDefenderSilentSetup.msi 
  (на момент создания описания ссылка не работала)

  Благодаря уязвимости в ActiveX компоненте "ADODB.Stream" загруженный файл сохраняется в каталоге "My Documents" текущего пользователя под случайным именем:

  %USERPROFILE%\My Documents\<rnd>\<rnd>.msi

  Далее загруженный файл запускается на выполнение. Данный файл при следующем старте системы будет удален вместе со своим родительским каталогом. Для этого создается ключ системного реестра:

  [HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce]
  "delpcdefmsi" = "cmd /c rmdir /s /q "%USERPROFILE%\My Documents\<rnd>""
  

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

1. Удалить файлы:

   %Temp%\<rnd>.vbs
   %USERPROFILE%\My Documents\<rnd>\<rnd>.msi
   

2. Удалить ключ системного реестра (как работать с реестром?):

   [HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce]
   "delpcdefmsi" = "cmd /c rmdir /s /q "%USERPROFILE%\
   My Documents\<rnd>""
   

3. Очистить каталог Temporary Internet Files, который может содержать инфицированные файлы (Как удалить инфицированные файлы в папке Temporary Internet Files?).
4. Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).

Резюме

• Trojan-Dropper. Скрытно устанавливает в систему другие вредоносные программы

Технические детали

Имеет размер 27136 байт.

Инсталляция

Создает следующие файлы на зараженном компьютере:

• Каталог текущего пользователя (обычно, C:\Documents and Settings\<Имя_текущего_пользователя>)%UserDir%\My Documents\PJUPKRWONHAOZFMDMFH\ONKTRDOADBHIQABGLIXF.msi (­детектируется антивирусом Касперского как­ Trojan-Spy.Win32.Ardamax.fvb)

Вредоносная активность

Создает следующие файлы:

• Каталог для хранения временных файлов ОС Windows (обычно, C:\Documents and Settings\<Имя_текущего_пользователя>\Local Settings\Temp)%Temp%\4c1bb2d3.vbs

Следующие файлы запускаются на исполнение:

• Каталог для хранения временных файлов ОС Windows (обычно, C:\Documents and Settings\<Имя_текущего_пользователя>\Local Settings\Temp)%Temp%\4c1bb2d3.vbs

Прочие действия

Изменяет следующие ключи системного реестра:

[ Ветка системного реестра HKEY_CURRENT_USERHKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce ] "delpcdefmsi" = "cmd /c rmdir /s /q " Каталог текущего пользователя (обычно, C:\Documents and Settings\<Имя_текущего_пользователя>)%UserDir%\My Documents\PJUPKRWONHAOZFMDMFH""

Описание:
­Используется для автозапуска файлов при загрузке ОС Windows­

Удаляет следующие файлы на зараженном компьютере:

• <­путь к исходной программе­><­файл исходной программы­>