Trojan-Downloader.Win32.Small.dam

Технические детали

Троянская программа, которая без ведома пользователя скачивает на компьютер другое программное обеспечение и запускает его на исполнение. Является приложением Windows (PE-EXE файл). Имеет размер 8355 байта. Упакована при помощи UPX. Распакованный размер около – 49 КБ. Написана на C++.

Инсталляция

Троянец копирует свой оригинальный файл в системный каталог с именем:

%System%\kernels88.exe

Для автоматического запуска при каждом следующем старте системы троянец добавляет ссылки на свой исполняемый файл в ключи автозапуска системного реестра:

[HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices]

"SystemTools"="%System%\kernels88.exe"

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]

"System"="%System%\kernels88.exe"

Деструктивная активность

После запуска троянец, используя командую строку, добавляет свой исполняемый файл в список разрешенных брандмауэром приложений:

netsh firewall set allowedprogram <путь_к_файлу_троянца> enable

Затем вредонос отключает «Диспетчер задач», модифицируя значения параметра ключа реестра:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]

"DisableTaskMgr"=dword:00000001

После этого троянец собирает системную информацию, а именно определяет:

• Локаль, язык;
• Версию, номер сборки, идентификатор OC;
• Тип процессора;
• Месторасположение;
• Текущее время;
• Наличие приложения Outpost.

Полученная информация используется троянцем для последующего формирования ссылки. В зависимости от месторасположения троянец генерирует разные ссылки. Для "Russia" генерируются ссылки:

http://sta***ngon.biz/pic/null.jpg
http://sta***ngon.biz/pic/null.jpg
http://sta***ngon.biz/pic/null.jpg
http://sta***ngon.biz/pic/tool.jpg
http://sta***ngon.biz/pic/proxy.jpg

для "Ukraine":

http://sta***gon.biz/pic/search.jpg
http://sta***gon.biz/pic/winlogon.jpg
http://sta***gon.biz/pic/tibs.jpg
http://sta***gon.biz/pic/tool.jpg
http://sta***gon.biz/pic/proxy.jpg

Далее троянец на основании системной информации создает следующие ссылки:

http://sta***gon.biz/test.php?adv=60&code1=HPNI&code2=1375
http://sta***gon.biz/dl/adv60.php?adv=60&code1=HPNI&code2=1375&code3=
http://sta***gon.biz/adv/060/adload.php?a1=<месторасположение>&a2=Type of Processor<тип_процессора>&a3=Windows version is <версия_ОС>&a4=Build:<номер_сборки>, Platform ID: < идентификатор_OC >&a5=notoutpost&table=adv60

Затем в отдельном потоке троянец пытается загрузить по полученным ссылкам файлы и сохранить их под следующими именами:

%System%\vx.tll
%System%\dlh9jkd1q1.exe
%System%\dlh9jkd1q2.exe
%System%\dlh9jkd1q5.exe
%System%\dlh9jkd1q6.exe
%System%\dlh9jkd1q7.exe
%System%\dlh9jkd1q8.exe

После успешной загрузки вредонос пытается запустить загруженные файлы на выполнение. В случае, если загруженный файл не удалось выполнить, троянец внедряет вредоносный код загрузчика в адресное пространство процесса "svchost.exe". В результате выполнения кода производится повторная загрузка файлов по тем же ссылкам, после чего файлы сохраняются в каталоге хранения временных файлов текущего пользователя под именами:

%Temp%\<D>.dllb

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

1. При помощи Диспетчера задач завершить процесс "kernels88.exe".
2. Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
3. Удалить параметры в ключах системного реестра:

   [HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices]
   "SystemTools"="%System%\kernels88.exe"
   
   [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
   "System"="%System%\kernels88.exe"
   
   [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
   "DisableTaskMgr"=dword:00000001
   

4. Удалить файлы:

   %System%\vx.tll
   %System%\kernels88.exe
   %System%\dlh9jkd1q1.exe
   %System%\dlh9jkd1q2.exe
   %System%\dlh9jkd1q5.exe
   %System%\dlh9jkd1q6.exe
   %System%\dlh9jkd1q7.exe
   %System%\dlh9jkd1q8.exe
   

5. Очистить каталог хранения временных файлов текущего пользователя:

   %Temp%\

6. Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).

[MD5: 883b3a07e362de0bf131456580fd8b3d]

[SHA1: 03d60a4b8929638a9129a95d4ba29b5e88c2a7b1]