Trojan-Spy.Win32.Agent.bqus

Технические детали
Деструктивная активность
Рекомендации по удалению

Технические детали

Троянская программа-шпион, предназначенная для похищения конфиденциальной информации пользователя. Является приложением Windows (PE-EXE файл). Имеет размер 110592 байта. Упакована при помощи UPX. Распакованный размер – около 219 КБ. Написана на С++.

Деструктивная активность

После запуска троянец извлекает из своего тела файл, который сохраняет под именем:

%Program Files%\Common Files\msado320.tlb

Данный файл имеет размер 69632 байта и детектируется антивирусом Касперского как Trojan.Win32.Agent.nccy. Для автозапуска вредоносного файла, при каждой загрузке Windows, троянец подменяет ссылку на исполняемый модуль системной службы "LanmanServer" в ключе системного реестра:

[HKLM\System\CurrentControlSet\Services\LanmanServer\
Parameters]
"ServiceDll" = "%CommonProgramFiles%\msado320.tlb"

Также вредонос выполняет поиск файлов настроек подключения к сети Интернет:

%ProgramFiles%\Internet Explorer\SIGNUP\*.ins

Далее троянец перемещает свой оригинальный файл в каталог временного хранения файлов текущего пользователя с именем:

%Temp%\<имя_временного_файла>.tmp

Запускаемый троянцем исполняемый модуль является ботом и управляется командами, которые поступают с сервера злоумышленника. После активации бот выполняет обращение к серверу обновлений "Microsoft" по ссылке:

http://download.windowsupdate.com/

Результат обращения к серверу пытается сохранить в файл:

%Temp%\<tmp>.tmp

где tmp – имя временного файла. Далее троянец получает системную информацию, прочитав значения следующих параметров в ключах реестра:

[HKLM\Software\Microsoft\Windows NT\CurrentVersion]
"ProductName"
"CSDVersion"
"InstallDate"

[HKLM\Software\Microsoft\Cryptography]
"MachineGuid"

Полученные данные передаются в методе POST в зашифрованном виде на сервер злоумышленника по ссылке:

http://meg***omen.com/class3/c.php

Например, передаваемые данные могут иметь следующий вид:

4370e12c-fc9f-4433-b782-c8a7d39bc363.1284659100
<|>2.5.7.0<|>adv15<
|>0<|>Microsoft Windows XP Service Pack 3

В ответ сервер передает боту управляющие команды, а также некоторые параметры. Обмен данными с сервером выполняется в зашифрованном виде, для чего использует криптографические механизмы Microsoft Windows. Бот может получать следующие команды:

Reboot;
DownloadAndExecuteEXE;
DAMPDLL;
Wipe;
Update;
SelfRemove;
CfgWrite.

В результате выполнения команд бот выполняет следующий вредоносный функционал:

• Получая системные привилегии, выполняет принудительную перезагрузку компьютера.
• Загружает файл по ссылке, которая поступает с сервера злоумышленника, и запускает его на выполнение. Загруженные файлы сохраняются во временном каталоге текущего пользователя с именем:

  %Temp%\<tmp>.tmp

  где tmp – имя временного файла.
• Удаляет указанные злоумышленником файлы.
• Загружает обновленную версию своего оригинального файла и запускает ее на выполнение. Например, для обновления своего файла, бот получал с сервера следующие команды:

  cmd Update
  Url http://meg***men.com/class3/u.php?f=rZ80fOiDsF60
  Version 9.9.9.9
  LoadImmidiatly true
  

• Приводит к неработоспособности системы, удаляя системные файлы:

  %System%\config\software.sav
  %System%\config\system.sav
  %System%\config\system
  %System%\config\default
  %System%\config\SAM
  %System%\config\SECURITY
  %System%\config\software
  %System%\config\afw_db.conf
  %System%\config\afw_hm.conf
  %System%\config\AppEvent.Evt
  %System%\config\SysEvent.Evt
  %System%\config\fsdb.sdb
  %System%\config\rules.rdb
  %System%\config\Internet.evt
  %System%\config\SecEvent.Evt
  %System%\config\userdiff
  

  Также записывает "мусорные" данные в главную загрузочную запись (MBR) жесткого диска.
• Получать новые конфигурационные данные бота с сервера злоумышленника.

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

1. При наличии удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
2. Изменить значения параметра в ключе (системного реестра):

   [HKLM\System\CurrentControlSet\Services\
   LanmanServer\Parameters]
   "ServiceDll" = "%CommonProgramFiles%\msado320.tlb"
           на
   [HKLM\System\CurrentControlSet\Services\
   LanmanServer\Parameters]
   "ServiceDll" = "%SystemRoot%\System32\srvsvc.dll"
   

3. Очистить каталог:

   %Temp%\

4. Удалить файл:

   %Program Files%\Common Files\msado320.tlb

5. Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).

Резюме

• Выполняет потенциально-опасные действия

Технические детали

Имеет размер 110592 байт.

Инсталляция

После запуска создает свои копии под следующими именами:

• Каталог для хранения временных файлов ОС Windows (обычно, C:\Documents and Settings\<Имя_текущего_пользователя>\Local Settings\Temp)%Temp%\1.tmp

Создает следующие файлы на зараженном компьютере:

• Стандартный каталог установленных программ в ОС Windows (обычно, C:\Program Files)%Program Files%\Common Files\msado320.tlb (­детектируется антивирусом Касперского как­ Trojan.Win32.Agent.nccy)

Вредоносная активность

Пытается найти файлы на компьютере пользователя по следующим маскам:

• *.ins

Прочие действия

Изменяет следующие ключи системного реестра:

[ Ветка системного реестра HKEY_LOCAL_MACHINEHKLM\SYSTEM\ControlSet001\Services\lanmanserver\parameters ] "ServiceDll" = "%CommonProgramFiles%\msado320.tlb"