Trojan-Downloader.Win32.Adload.tup

Технические детали
Деструктивная активность
Рекомендации по удалению

Технические детали

Троянская программа, загружающая файлы из сети Интернет без ведома пользователя и запускающая их. Является приложением Windows (PE-EXE файл). Имеет размер 82200 байт. Написана на C++.

Деструктивная активность

После запуска троянец выполняет следующие действия:

• загружает из сети Интернет файл по следующей ссылке:

  http://up***er.com/install.aspx?b=querybrowser

  Загруженный файл сохраняется в каталоге хранения временных файлов текущего пользователя как

  %Temp%\stb<rnd>.tmp\setup.exe

  где <rnd> – случайное двухзначное шестнадцатеричное число.

  На момент создания описания загружался файл размером 727792 байта; MD5: 9FCFAF2BC4BD8D54BCFCD0CC3A888842, SHA1:
  0DEA5D4C0D6DDB213440BD7AAEEDAAB8C8F64B8E.

• Запускает загруженный файл с параметрами:

  -i 9f77f024b36d47be96af687beb8abf3e -p QrybrsrFlvtube /S

• Ожидает завершения запущенного процесса "setup.exe", после чего удаляет файл:

  %Temp%\stb<rnd>.tmp\setup.exe

  а также каталог:

  %Temp%\stb<rnd>.tmp

• Информирует злоумышленника об удачной загрузке и установке файла, обращаясь по ссылке:

  http://up***er.com/?product=0&tji18=2152&vn=0&qipc43
  =43&rea=29&rfz94=45&b=querybrowser&vhid11=582&cid=9f77f0
  24b36d47be96af687beb8abf3e&opfs4=7708&ptag=QrybrsrFlvtub
  e&pe3=21&av=Ao19cDF0lroKQZGcGWv64KQowTOUJpXf8zxYqCi0
  &fpuz6=53&as=
  

• Посредством запуска системного командного интерпретатора "CMD.EXE" с параметрами:

  /c del <полный путь к оригинальному файлу троянца> > nul

  удаляет свой оригинальный файл после завершения его работы.

После этого троянец завершает свою работу.

Загруженный троянцем файл является инсталлятором программы "QueryBrowser". Сайт программы:

http://www.querybrowser.com

Окно инсталлятора выглядит следующим образом:

Программа устанавливается в каталог "%Program Files%", где создаются файлы:

%Program Files%\QueryBrowser\querybrowser.exe 

(61712 байт; MD5: 592DEFC591FAF81D539785D840 76D215, SHA1: 6F0609047A4A78E3236C0812CAFE5D 62AB62A011)

%Program Files%\QueryBrowser\querybrowser.dll

(577536 байт; MD5: 779BD59FF43537BB1C1FF78B49669AD8, SHA1: 138D9EE7F782A99AA07F0611F2E39035FDC13D7E)

Также в процессе установки создаются ключи системного реестра:

[HKLM\Software\QueryBrowser]
"Primary" = "24602"
"DllPath" = "%Program Files%\QueryBrowser\querybrowser.dll"
"Version" = "65548"
"Cid" = "61fd6abec14040a08fd49ee54b25508a"
"Partner" = "QrybrsrFlvtube"
"Src" = "querybrowser"
"Initial" = "1"
"ShowToolbarButton" = "0"
"ShowBarSign" = "0"

Установленная программа позволяет отслеживать строки, вводимые в адресной строке браузера, и, таким образом, вести учет интернет-ресурсов, посещаемых пользователем.

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

1. При помощи Диспетчера задач завершить процессы с именами "querybrowser.exe".
2. Удалить файлы:

   %Program Files%\QueryBrowser\querybrowser.exe
   %Program Files%\QueryBrowser\querybrowser.dll 
   

3. Удалить ключи системного реестра (как работать с реестром?):

   [HKLM\Software\QueryBrowser]
   "Primary" = "24602"
   "DllPath" = "%Program Files%\QueryBrowser\querybrowser.dll"
   "Version" = "65548"
   "Cid" = "61fd6abec14040a08fd49ee54b25508a"
   "Partner" = "QrybrsrFlvtube"
   "Src" = "querybrowser"
   "Initial" = "1"
   "ShowToolbarButton" = "0"
   "ShowBarSign" = "0"
   

4. Очистить каталог Temporary Internet Files, который может содержать инфицированные файлы (Как удалить инфицированные файлы в папке Temporary Internet Files?).
5. Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).

Технические детали

Имеет размер 82200 байт.

Инсталляция

Создает следующие файлы на зараженном компьютере:

• Каталог для хранения временных файлов ОС Windows (обычно, C:\Documents and Settings\<Имя_текущего_пользователя>\Local Settings\Temp)%Temp%\stb1.tmp\setup.exe (­детектируется антивирусом Касперского как­ not-a-virus:AdWare.Win32.Zwangi.cgx)
• Каталог для хранения временных файлов ОС Windows (обычно, C:\Documents and Settings\<Имя_текущего_пользователя>\Local Settings\Temp)%Temp%\nsg3.tmp
• Каталог для хранения временных файлов ОС Windows (обычно, C:\Documents and Settings\<Имя_текущего_пользователя>\Local Settings\Temp)%Temp%\nsw4.tmp\System.dll
• Каталог для хранения временных файлов ОС Windows (обычно, C:\Documents and Settings\<Имя_текущего_пользователя>\Local Settings\Temp)%Temp%\nsr5.tmp\querybrowser.dll (­детектируется антивирусом Касперского как­ not-a-virus:AdWare.Win32.Zwangi.cgx)
• Каталог для хранения временных файлов ОС Windows (обычно, C:\Documents and Settings\<Имя_текущего_пользователя>\Local Settings\Temp)%Temp%\nsr5.tmp\uninstall.exe
• Каталог для хранения временных файлов ОС Windows (обычно, C:\Documents and Settings\<Имя_текущего_пользователя>\Local Settings\Temp)%Temp%\nsr5.tmp\querybrowser.exe (­детектируется антивирусом Касперского как­ not-a-virus:AdWare.Win32.Zwangi.cgx)
• Стандартный каталог установленных программ в ОС Windows (обычно, C:\Program Files)%Program Files%\QueryBrowser\querybrowser.dll (­детектируется антивирусом Касперского как­ not-a-virus:AdWare.Win32.Zwangi.cgx)
• Стандартный каталог установленных программ в ОС Windows (обычно, C:\Program Files)%Program Files%\QueryBrowser\querybrowser.exe (­детектируется антивирусом Касперского как­ not-a-virus:AdWare.Win32.Zwangi.cgx)

Вредоносная активность

Обращается к следующим адресам в Интернете:

• http://***rade.querybrowser.com/install.aspx?b=querybrowser
• http://***rade.querybrowser.com/?product=0&tji18=2152&vn=0&qipc43=43&rea=10&rfz94=45&b=querybrowser&vhid11=582&cid=c2b7e7e0ba864611aa65db97c20a4417&opfs4=7708&ptag=QrybrsrFlvtube&pe3=21&av=Ao19cDF0lroKQZGcGWv64KQowTOUJpXf8zxYqCi0&fpuz6=53&as=

Для определения своего присутствия в системе создает уникальные идентификаторы "mutex"

• amgncixrnpzo
• Global\91auo+#>>&ltm

Пытается найти файлы на компьютере пользователя по следующим маскам:

• *.*
• ping.*

Прочие действия

Производит запуск следующих файлов (команд):

• <­путь к исходной программе­><­файл исходной программы­> -bkg
• \" Каталог для хранения временных файлов ОС Windows (обычно, C:\Documents and Settings\<Имя_текущего_пользователя>\Local Settings\Temp)%Temp%\stb1.tmp\setup.exe\" -i c2b7e7e0ba864611aa65db97c20a4417 -p QrybrsrFlvtube /S
• \" Каталог для хранения временных файлов ОС Windows (обычно, C:\Documents and Settings\<Имя_текущего_пользователя>\Local Settings\Temp)%Temp%\nsr5.tmp\querybrowser.exe\" \" Каталог для хранения временных файлов ОС Windows (обычно, C:\Documents and Settings\<Имя_текущего_пользователя>\Local Settings\Temp)%Temp%\nsr5.tmp\querybrowser.dll\" -r
• \" Каталог для хранения временных файлов ОС Windows (обычно, C:\Documents and Settings\<Имя_текущего_пользователя>\Local Settings\Temp)%Temp%\nsr5.tmp\querybrowser.exe\" \" Каталог для хранения временных файлов ОС Windows (обычно, C:\Documents and Settings\<Имя_текущего_пользователя>\Local Settings\Temp)%Temp%\nsr5.tmp\querybrowser.dll\" vafuloneciz \"-p QrybrsrFlvtube -i c2b7e7e0ba864611aa65db97c20a4417\"
• Системный каталог ОС Windows (обычно, C:\Windows\System32)%System%\ping.exe ping 127.0.0.1 -n 2

Устанавливает следующие системные службы (драйвера):

Имя службы:	QueryBrowser Service
Отображаемое имя службы:	QueryBrowser Service
Параметры запуска:	Каталог хранения Пользовательских настроек%Documents and Settings%\All Users\Application Data\QueryBrowser\querybrowser110.exe Стандартный каталог установленных программ в ОС Windows (обычно, C:\Program Files)%Program Files%\QueryBrowser\querybrowser.dll subiwagefana
Тип запуска:	­автоматически­

Изменяет состояние следующих системных служб:

Имя службы:	QueryBrowser Service
Отображаемое имя службы:	QueryBrowser Service
Параметры запуска:	Каталог хранения Пользовательских настроек%Documents and Settings%\All Users\Application Data\QueryBrowser\querybrowser110.exe Стандартный каталог установленных программ в ОС Windows (обычно, C:\Program Files)%Program Files%\QueryBrowser\querybrowser.dll subiwagefana

Изменяет следующие ключи системного реестра:

[ Ветка системного реестра HKEY_LOCAL_MACHINEHKLM\SOFTWARE\QueryBrowser ] "TempInstallDir" = " Стандартный каталог установленных программ в ОС Windows (обычно, C:\Program Files)%Program Files%\QueryBrowser"

[ Ветка системного реестра HKEY_LOCAL_MACHINEHKLM\SOFTWARE\QueryBrowser ] "Primary" = "0x3CCE"

[ Ветка системного реестра HKEY_LOCAL_MACHINEHKLM\SOFTWARE\QueryBrowser ] "DllPath" = " Стандартный каталог установленных программ в ОС Windows (обычно, C:\Program Files)%Program Files%\QueryBrowser\querybrowser.dll"

[ Ветка системного реестра HKEY_LOCAL_MACHINEHKLM\SOFTWARE\QueryBrowser ] "Version" = "0x1000A"

[ Ветка системного реестра HKEY_LOCAL_MACHINEHKLM\SOFTWARE\QueryBrowser ] "Cid" = "c2b7e7e0ba864611aa65db97c20a4417"

[ Ветка системного реестра HKEY_LOCAL_MACHINEHKLM\SOFTWARE\QueryBrowser ] "Partner" = "QrybrsrFlvtube"

[ Ветка системного реестра HKEY_LOCAL_MACHINEHKLM\SOFTWARE\QueryBrowser ] "Src" = "querybrowser"

[ Ветка системного реестра HKEY_LOCAL_MACHINEHKLM\SOFTWARE\QueryBrowser ] "Initial" = "0x1"

[ Ветка системного реестра HKEY_LOCAL_MACHINEHKLM\SOFTWARE\QueryBrowser ] "ShowToolbarButton" = "0x0"

[ Ветка системного реестра HKEY_LOCAL_MACHINEHKLM\SOFTWARE\QueryBrowser ] "ShowBarSign" = "0x0"

[ Ветка системного реестра HKEY_LOCAL_MACHINEHKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\QueryBrowser ] "DisplayName" = "QueryBrowser 1.0 build 110"

[ Ветка системного реестра HKEY_LOCAL_MACHINEHKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\QueryBrowser ] "UninstallString" = " Стандартный каталог установленных программ в ОС Windows (обычно, C:\Program Files)%Program Files%\QueryBrowser\uninstall.exe"

Удаляет следующие параметры ключей системного реестра:

[ Ветка системного реестра HKEY_LOCAL_MACHINEHKLM\SOFTWARE\QueryBrowser ] "TempInstallDir" = ""

Удаляет следующие файлы на зараженном компьютере:

• <­путь к исходной программе­><­файл исходной программы­>
• Каталог для хранения временных файлов ОС Windows (обычно, C:\Documents and Settings\<Имя_текущего_пользователя>\Local Settings\Temp)%Temp%\stb1.tmp\setup.exe
• Каталог для хранения временных файлов ОС Windows (обычно, C:\Documents and Settings\<Имя_текущего_пользователя>\Local Settings\Temp)%Temp%\nsw4.tmp\System.dll
• Каталог для хранения временных файлов ОС Windows (обычно, C:\Documents and Settings\<Имя_текущего_пользователя>\Local Settings\Temp)%Temp%\nsr5.tmp\querybrowser.dll
• Каталог для хранения временных файлов ОС Windows (обычно, C:\Documents and Settings\<Имя_текущего_пользователя>\Local Settings\Temp)%Temp%\nsr5.tmp\uninstall.exe
• Каталог для хранения временных файлов ОС Windows (обычно, C:\Documents and Settings\<Имя_текущего_пользователя>\Local Settings\Temp)%Temp%\nsr5.tmp\querybrowser.exe
• Каталог для хранения временных файлов ОС Windows (обычно, C:\Documents and Settings\<Имя_текущего_пользователя>\Local Settings\Temp)%Temp%\stb1.tmp
• Каталог для хранения временных файлов ОС Windows (обычно, C:\Documents and Settings\<Имя_текущего_пользователя>\Local Settings\Temp)%Temp%\nsg2.tmp
• Каталог для хранения временных файлов ОС Windows (обычно, C:\Documents and Settings\<Имя_текущего_пользователя>\Local Settings\Temp)%Temp%\nsw4.tmp
• Каталог для хранения временных файлов ОС Windows (обычно, C:\Documents and Settings\<Имя_текущего_пользователя>\Local Settings\Temp)%Temp%\nsr5.tmp