Trojan.Win32.Agent2.dmvt

Технические детали

Вредоносная программа, предназначенная для похищения пользовательских данных аутентификации. Является приложением Windows (PE-EXE файл). Имеет размер 6144 байта. Упакована UPX. Распакованный размер – около 12 КБ. Написана на C++.

Деструктивная активность

сле запуска вредонос проверяет наличие в системном реестре ветви:

[HKCU\Software\Classes\CLSID\{82404416-4C60-47F8-BA06-90BA7261C3AE}
\InprocServer32]

Если ветвь отсутствует, выполняются следующие действия:

• тело вредоноса копируется в каталог хранения временных файлов текущего пользователя:

  %Temp%\Procmon.exe

• Созданная копия запускается с параметром "loop".

  При запуске с параметром "loop" вредонос завершает процессы, содержащие в именах своих исполняемых файлов подстроку "duospeak". После этого создается и запускается сценарий командного интерпретатора "c:\test.bat" следующего содержания:

  :try
  del "<полный путь к оригинальному файлу троянца>""
   if exist "<полный путь к оригинальному файлу троянца>" goto try
   del %0
  

  что приводит к удалению оригинального файла троянца после завершения его работы. При этом сам сценарий также удаляется.

Если вышеуказанная ветвь системного реестра найдена, то троянец выполняет следующие действия:

• считывает значение ключа:

  [HKCU\Software\Classes\CLSID\{82404416-4C60-47F8-BA06-90BA7261C3AE}\InprocServer32]
  "default"

  Данный ключ хранит строку, содержащую путь к файлу некоторой DLL.
• Удаляет файл: <Path>\YYCtrl.dll Путь <Path> формируется из ранее считанной строки путем удаления последних 14-ти символов.
• Извлекает из своего тела файл:

  <Path>\YYCtrl.dll

  (4608 байт; детектируется Антивирусом Касперского как "Trojan.Win32.Agent2.dmuw") Файл создается с атрибутом "скрытый" (hidden).
• Модифицирует библиотеку

  <Path>\msvcr71.dll

  дописывая в нее код, подгружающий к некоторому процессу извлеченную ранее библиотеку. Таким образом, в адресное пространство всех процессов, подгружающих "msvcr71.dll", будет внедряться и вредоносная библиотека "YYCtrl.dll".
• Создает и запускает описанный ранее сценарий "c:\test.bat", после чего завершает свою работу.

Будучи подгруженной в адресное пространство процесса "duospeak.exe" библиотека "YYCtrl.dll" позволяет отслеживать вводимую пользователем информацию в окнах с именами классов:

YYMainWnd
YYLogin
Edit

Собранные данные отправляется в HTTP-запросах на сервера:

124.***.56.12
121.***.13.22

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

1. При помощи Диспетчера задач завершить процесс "duospeak.exe".
2. Удалить файлы:

   %Temp%\Procmon.exe
   <Path>\YYCtrl.dll
   

3. Восстановить оригинальное содержимое файла:

   <Path>\msvcr71.dll

4. Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).

MD5: 7ACC4753C7A39E0F3E70C46DFCEF7E28

SHA1: 3DA90B2175444CC8DC10375C83B3D414A69F21BC

Резюме

• Trojan-Dropper. Скрытно устанавливает в систему другие вредоносные программы

• Выполняет потенциально-опасные действия

Технические детали

Имеет размер 6144 байт.

Инсталляция

После запуска создает свои копии под следующими именами:

• Каталог для хранения временных файлов ОС Windows (обычно, C:\Documents and Settings\<Имя_текущего_пользователя>\Local Settings\Temp)%Temp%\Procmon.exe

Вредоносная активность

Создает следующие файлы:

• c:\test.bat

Следующие файлы запускаются на исполнение:

• c:\test.bat

Прочие действия

Производит запуск следующих файлов (команд):

• Каталог для хранения временных файлов ОС Windows (обычно, C:\Documents and Settings\<Имя_текущего_пользователя>\Local Settings\Temp)%Temp%\Procmon.exe