Trojan-Downloader.Win32.Agent.bmc

Технические детали

Троянская программа, загружающая файлы из сети Интернет без ведома пользователя и запускающая их на исполнение. Является приложением Windows (PE–EXE файл). Имеет размер 301056 байт. Написана на C++.

Инсталляция

После запуска троянец проверяет наличие в системном реестре следующей ветви:

[HKLM\System\CurrentControlSet\Services\windows_0]

• копирует свое тело в файл:

  %System%\<имя оригинального файла троянца>.exe

• Создает и запускает в системе службу с именем "windows_0" (отображается в пользовательских приложениях как "Windows Accounts Driver"), бинарным файлом которой является созданная копия оригинального файла троянца.
• Изменяет значение ключа системного реестра:

  [HKLM\System\CurrentControlSet\Services\windows_0]
  "Description" = "Network Connections Management"

• Внедряет в адресное пространство процесса

  explorer.exe

  исполняемый код, загружающий из сети Интернет файл по следующей ссылке:

  http://www.***fish.com/khhm.exe

  (На момент создания описания ссылка не работала)
  
  Загруженный файл сохраняется в системе как

  %System%\SVCH0ST.EXE

  После успешной загрузки файл запускается на выполнение.
• Для удаления своего оригинального файла после завершения его работы троянец запускает системный командный интерпретатор "cmd.exe" со следующими параметрами:

  /c  del <полный путь к оригинальному файлу троянца> > nul

  После этого троянец завершает свою работу.
  
  

  Деструктивная активность

  В троянце реализован функционал бэкдора. После запуска троянец выполняет следующие действия:

  • подключается к удаленному хосту:

    xy***322.org

  • Получает версию операционной системы, а также информацию о текущем использовании системой виртуальной и физической памяти.
  • Отсылает полученные данные на вышеуказанный хост.
  • Далее троянец переходит в цикл обработки команд, получаемых от злоумышленника. Реализована обработка следующих команд:

    FLOOD:

    – организация DoS-атаки на указанный злоумышленником сервер. На этот сервер в трех параллельно выполняющихся потоках отправляются множественные GET-запросы со следующими параметрами:
    GET / HTTP/1.1
    Accept: */*
    Referer:www.google.com
    Accept-Language: zh-cn
    Accept-Encoding: gzip, deflate
    User-Agent:Mozilla/4.0 (compatible; MSIE 6.0; Windows 5.1)
    Host: <переданный злоумышленником адрес>:<переданный злоумышленником порт>
    Proxy-Connection: Keep-Alive
    Pragma: no-cache
    
    Атака продолжается до тех пор, пока не будет получена команда

    STOPATTACK

    DOWNLOAD:

    – загрузка файла по переданной злоумышленником ссылке. Загруженный файл сохраняется в системе как

    %System%\temp_<rnd>.exe

    где <rnd> – случайное десятичное число.
    
    После успешной загрузки файл запускается на выполнение.

    REMOVE

    – завершение работы троянца, удаление из системы службы "windows_0".
    
    После успешного выполнения очередной команды троянец посылает злоумышленнику сообщение:

    OK

    
    

    Рекомендации по удалению

    Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

    1. Используя Консоль управления MMC (Microsoft Management Console) (вкладка "Службы и приложения\Службы"), остановить работу службы "windows_0".
    2. Удалить ветвь системного реестра (как работать с реестром?):

       [HKLM\System\CurrentControlSet\Services\windows_0]

    3. Перезагрузить компьютер.
    4. Удалить файлы:

       %System%\<имя оригинального файла бэкдора>.exe
       %System%\SVCH0ST.EXE
       %System%\temp_.exe

    5. Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).