Технические детали
Деструктивная активность
Рекомендации по удалению
Технические детали
Троянская программа, которая без ведома пользователя загружает из сети Интернет другие вредоносные программы и запускает их на выполнение. Является приложением Windows (PE-EXE файл). Имеет размер 24576 байт. Написана на Visual Basic.
Деструктивная активность
После запуска, троянец выполняет загрузку файлов со следующих URL адресов:
http://www.masini***lte.eu/components/com_media/assets/,,,/77.jpg
http://www.masini***lte.eu/components/com_media/assets/,,,/4.jpg
На момент создания описания ссылки не работали.
Троянец сохраняет загруженные файлы под следующими именами:
%WinDir%\system\alcohol.exe
%WinDir%\system\foxit.exe
Далее троянец запускает скачанные файлы на выполнение и завершает свою работу.
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
- Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
- Удалить файлы:
%WinDir%\system\alcohol.exe
%WinDir%\system\foxit.exe
- Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).
MD5: A236C27ACC2B658A712DD48FEFD43735
SHA1: A8EDA9554065F93173010CC9BC84E91A6AF8C12F
Резюме
Технические детали
Имеет размер 24576 байт.
Инсталляция
Создает следующие файлы на зараженном компьютере:
-
Каталог ОС Windows (обычно, C:\Windows)%Windir%\system\alcohol.exe
-
Каталог для хранения временных файлов ОС Windows (обычно, C:\Documents and Settings\<Имя_текущего_пользователя>\Local Settings\Temp)%Temp%\80EB2F5C
- C:\kill.txt
(детектируется антивирусом Касперского как Trojan-Banker.Win32.Banker.behh)
-
Каталог ОС Windows (обычно, C:\Windows)%Windir%\system\foxit.exe
-
Каталог ОС Windows (обычно, C:\Windows)%Windir%\ERRO
Вредоносная активность
Следит за действиями пользователя, устанавливая системные перехватчики, выполняющие:
- Перехват программных сообщений
Похищает конфиденциальную информацию пользователя от
Вредоносная программа, предназначенная для кражи пользовательской информации, относящейся к банковским системам, системам электронных платежей и пластиковых карт. Найденная информация передается злоумышленнику при помощи электронной почты, ftp, web и других способов.
Подробнее можно прочитать здесь: http://www.viruslist.com/ru/analysis?pubid=204007628следующих банков, финансовых учреждений, платежных систем:
- HSBC Group
- Banco do Brasil
Создает следующие файлы:
-
Каталог текущего пользователя (обычно, C:\Documents and Settings\<Имя_текущего_пользователя>)%UserDir%\Local Settings\Application Data\wap.exe
-
Системный каталог ОС Windows (обычно, C:\Windows\System32)%System%\drivers\trs.sys
(детектируется антивирусом Касперского как Trojan-Banker.Win32.Banker.bdkx)
- C:\TITI.EXE
После чего обеспечивается
Используя системный реестр, системные службы или специальные системные файлы, программа может обеспечивать свой запуск или запуск созданных ею файлов при каждой следующей загрузке ОС Windowsавтозагрузка установленных файлов:
путем прописывания в ключах автозапуска системного реестра:
[
Ветка системного реестра HKEY_LOCAL_MACHINEHKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run ]
"(default)" = "
Каталог текущего пользователя (обычно, C:\Documents and Settings\<Имя_текущего_пользователя>)%UserDir%\Local Settings\Application Data\wap.exe"
[
Ветка системного реестра HKEY_LOCAL_MACHINEHKLM\SYSTEM\ControlSet001\Services\pelodlo ]
"ImagePath" = "system32\drivers\trs.sys"
Следующие файлы запускаются на исполнение:
Создает соединение со следующими адресами в Интернете:
Для определения своего присутствия в системе создает уникальные идентификаторы "mutex"
- ZonesCounterMutex
- ZonesCacheCounterMutex
- ZonesLockedCacheCounterMutex
- RasPbFile
Пытается найти файлы на компьютере пользователя по следующим маскам:
- *.dbx
- *.*
- *.wab
- *.mbx
- *.mai
- *.eml
- *.tbb
- *.mbox
Прочие действия
Устанавливает следующие системные службы (драйвера):
| Имя службы: | pelodlo |
| Отображаемое имя службы: | putit |
| Параметры запуска: | pelodlo |
| Тип запуска: | специальный запуск |
Изменяет состояние следующих системных служб:
| Имя службы: | pelodlo |
| Отображаемое имя службы: | putit |
| Параметры запуска: | pelodlo |
Ищет следующие окна:
| Класс: | ERRO: Acrobat Readers com defeito, contacte seu revendedor. |
| Заголовок: | Acrobat |
Изменяет следующие ключи системного реестра:
[
Ветка системного реестра HKEY_CURRENT_USERHKCU\EnableLUA ]
"SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System" = "0x0"
[
Ветка системного реестра HKEY_LOCAL_MACHINEHKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce ]
"Cleanup" = "C:\cleanup.exe"
Описание:
Используется для автозапуска файлов при загрузке ОС Windows
[
Ветка системного реестра HKEY_LOCAL_MACHINEHKLM\SYSTEM\ControlSet001\Services\tphfxt ]
"ImagePath" = "system32\drivers\ttavrwa.sys"
[
Ветка системного реестра HKEY_LOCAL_MACHINEHKLM\SYSTEM\ControlSet001\Services\tphfxt ]
"Start" = "0x0"
[
Ветка системного реестра HKEY_LOCAL_MACHINEHKLM\SYSTEM\ControlSet001\Services\tphfxt ]
"Type" = "0x1"
[
Ветка системного реестра HKEY_LOCAL_MACHINEHKLM\SYSTEM\ControlSet001\Services\tphfxt ]
"ErrorControl" = "0x1"
[
Ветка системного реестра HKEY_LOCAL_MACHINEHKLM\SYSTEM\ControlSet001\Services\tphfxt ]
"krfizmc" = "\??\C:\dtzqveq.txt"
[
Ветка системного реестра HKEY_LOCAL_MACHINEHKLM\SYSTEM\ControlSet001\Services\tphfxt ]
"opdxea" = "C:\WINDOWS"
[
Ветка системного реестра HKEY_LOCAL_MACHINEHKLM\SYSTEM\ControlSet001\Services\tphfxt ]
"wokhytbe" = "0x42AF"
[
Ветка системного реестра HKEY_LOCAL_MACHINEHKLM\SYSTEM\ControlSet001\Control\ServiceGroupOrder ]
"List" = "kbumo"
[
Ветка системного реестра HKEY_LOCAL_MACHINEHKLM\SYSTEM\ControlSet001\Services\tphfxt ]
"Group" = "kbumo"
Удаляет следующие файлы на зараженном компьютере:
- C:\clanup.exe
- C:\cleanup.bat
- C:\avenger.txt
- C:\zip.exe
RSS-каналы
Уровень опасности: 1
