Trojan-Downloader.Win32.Small.bmzc

Технические детали
Деструктивная активность
Рекомендации по удалению

Технические детали

Троянская программа, которая без ведома пользователя загружает из сети Интернет другие вредоносные программы и запускает их на выполнение. Является приложением Windows (PE-EXE файл). Имеет размер 2560 байт. Написана на C++.

Деструктивная активность

После запуска троянец устанавливает соединение со следующим IP адресом:

69.***.192.250

И получает данные в зашифрованном виде. Затем выполняет расшифровку полученных данных и сохраняет файлы во временном каталоге текущего пользователя под именами вида:

%Temp%\_<rnd>.tmp

Где <rnd> - произвольная последовательность из цифр и букв латинского алфавита.

Далее троянец запускает скачанные файлы и завершает свою работу.

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

1. Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
2. Удалить файлы:

   %Temp%\_<rnd>.tmp

3. Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).

Резюме

• Trojan-Dropper. Скрытно устанавливает в систему другие вредоносные программы

• Trojan. Выполняет действия, характерные для вредоносных программ

• Осуществляет сетевую активность

Технические детали

Имеет размер 2560 байт.

Инсталляция

Создает следующие файлы на зараженном компьютере:

• Системный каталог ОС Windows (обычно, C:\Windows\System32)%System%\shimg.dll
• Системный каталог ОС Windows (обычно, C:\Windows\System32)%System%\dll.dll (­детектируется антивирусом Касперского как­ Trojan.Win32.Small.ahvm)
• Системный каталог ОС Windows (обычно, C:\Windows\System32)%System%\MAI4.tmp

Вредоносная активность

Создает следующие файлы:

• Каталог для хранения временных файлов ОС Windows (обычно, C:\Documents and Settings\<Имя_текущего_пользователя>\Local Settings\Temp)%Temp%\_1.tmp (­детектируется антивирусом Касперского как­ Email-Worm.Win32.Joleee.gol)
• Каталог для хранения временных файлов ОС Windows (обычно, C:\Documents and Settings\<Имя_текущего_пользователя>\Local Settings\Temp)%Temp%\_2.tmp (­детектируется антивирусом Касперского как­ Trojan-Dropper.Win32.Agent.eltk)
• Каталог для хранения временных файлов ОС Windows (обычно, C:\Documents and Settings\<Имя_текущего_пользователя>\Local Settings\Temp)%Temp%\_3.tmp
• Системный каталог ОС Windows (обычно, C:\Windows\System32)%System%\cryptnet32.dll (­детектируется антивирусом Касперского как­ Trojan.Win32.Agent.hnxo)
• Системный каталог ОС Windows (обычно, C:\Windows\System32)%System%\drivers\wlhmyzoazvwx.sys (­детектируется антивирусом Касперского как­ Rootkit.Win32.Blakken.ac)

После чего обеспечивается Используя системный реестр, системные службы или специальные системные файлы, программа может обеспечивать свой запуск или запуск созданных ею файлов при каждой следующей загрузке ОС Windowsавтозагрузка установленных файлов:

путем прописывания в ключах автозапуска системного реестра:

[ Ветка системного реестра HKEY_LOCAL_MACHINEHKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cryptnet32 ] "DllName" = "cryptnet32.dll"

[ Ветка системного реестра HKEY_LOCAL_MACHINEHKLM\SYSTEM\ControlSet001\Services\dcrsshwdjekjts ] "ImagePath" = "system32\drivers\wlhmyzoazvwx.sys"

Следующие файлы запускаются на исполнение:

• Каталог для хранения временных файлов ОС Windows (обычно, C:\Documents and Settings\<Имя_текущего_пользователя>\Local Settings\Temp)%Temp%\_1.tmp
• Каталог для хранения временных файлов ОС Windows (обычно, C:\Documents and Settings\<Имя_текущего_пользователя>\Local Settings\Temp)%Temp%\_2.tmp
• Каталог для хранения временных файлов ОС Windows (обычно, C:\Documents and Settings\<Имя_текущего_пользователя>\Local Settings\Temp)%Temp%\_3.tmp

Внедряет свой код в следующие процессы:

• svchost.exe

Создает соединение со следующими адресами в Интернете:

• ***.50.192.250:16415

Проверяет наличие Dial-UP соединений на зараженном компьютере

Для определения своего присутствия в системе создает уникальные идентификаторы "mutex"

• Global\{3D5A1694-CC2C-4ee7-A3D5-A879A9E3A62A}

Пытается найти файлы на компьютере пользователя по следующим маскам:

• *.ini
• *.pcf
• *.*
• *.set
• *.store

Прочие действия

Изменяет следующие ключи системного реестра:

[ Ветка системного реестра HKEY_LOCAL_MACHINEHKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cryptnet32 ] "Startup" = "WinlogonStartEX"

[ Ветка системного реестра HKEY_LOCAL_MACHINEHKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cryptnet32 ] "Logoff" = "WinlogonLogEX"

[ Ветка системного реестра HKEY_LOCAL_MACHINEHKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cryptnet32 ] "Shutdown" = "WinlogonLogEX"

[ Ветка системного реестра HKEY_LOCAL_MACHINEHKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cryptnet32 ] "Asynchronous" = "0x1"

[ Ветка системного реестра HKEY_LOCAL_MACHINEHKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cryptnet32 ] "Impersonate" = "0x0"

[ Ветка системного реестра HKEY_LOCAL_MACHINEHKLM\SYSTEM\ControlSet001\Services\dcrsshwdjekjts ] "DisplayName" = "dcrsshwdjekjts"

[ Ветка системного реестра HKEY_LOCAL_MACHINEHKLM\SYSTEM\ControlSet001\Services\dcrsshwdjekjts ] "Group" = "Boot Bus Extender"

[ Ветка системного реестра HKEY_LOCAL_MACHINEHKLM\SYSTEM\ControlSet001\Services\dcrsshwdjekjts ] "Type" = "0x1"

[ Ветка системного реестра HKEY_LOCAL_MACHINEHKLM\SYSTEM\ControlSet001\Services\dcrsshwdjekjts ] "Start" = "0x0"

[ Ветка системного реестра HKEY_LOCAL_MACHINEHKLM\SYSTEM\ControlSet001\Services\dcrsshwdjekjts ] "ErrorControl" = "0x0"

Удаляет следующие файлы на зараженном компьютере:

• Каталог для хранения временных файлов ОС Windows (обычно, C:\Documents and Settings\<Имя_текущего_пользователя>\Local Settings\Temp)%Temp%\_1.tmp
• Системный каталог ОС Windows (обычно, C:\Windows\System32)%System%\crt.dat