Trojan.Win32.Scar.dgje

Технические детали
Деструктивная активность
Рекомендации по удалению

Технические детали

Троянская программа. Является приложением Windows (PE-EXE файл). Имеет размер 742912 байт. Упакована неизвестным упаковщиком. Распакованный размер – около 788 Кб. Написана на Delphi.

MD5: 58064fa7af6d5286248f597975ff3e77

SHA1: 375e887e02436186441fa6ac2994bf165c923e09

Инсталляция

При запуске троянец копирует свой исполняемый файл под следующим именем:

%AppData%\msuwarn\<Original_Filename>

где <Original_Filename> - оригинальное имя файла троянца.

Для автоматического запуска при каждом следующем старте системы троянец добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"msuwarn"="%AppData%\msuwarn\<Original_Filename>"

Также троянец периодически проверяет наличие данного ключа реестра и восстанавливает его в случае удаления.

Деструктивная активность

Троянец удаляет следующую ветку реестра и все ключи в ней. Это приводит к невозможности загрузки ОС в «Безопасном режиме»:

[HKLM\System\ControlSet001\Control\SafeBoot]

Далее троянец извлекает из своего тела два файла и сохраняет их под следующими именами, после чего запускает:

%AppData%\msuwarn\sdata.dll

Данный файл имеет размер 69632 байта и детектируется Антивирусом Касперского как Trojan.Win32.Agent2.cosd.

%Temp%\msuwarn.exe

Данный файл имеет размер 69632 байта и детектируется Антивирусом Касперского как Trojan.Win32.Pasmu.gv. Данная вредоносная программа при запуске похищает логины, пароли и другие данные доступа к различным сервисам из следующих программ:

WS FTP CuteFTP Total Commander FileZilla FTP Commander Mozilla Thunderbird The Bat! Pidgin ICQ QIP Miranda

Также данная троянская программа похищает данные из файлов:

%WinDir%\VD3User.dat
%WinDir%\Vd3main.dat
%WinDir%\win.ini
%UserProfile%\My Documents\*.rdp

Собранные данные троянец может передавать злоумышленнику путем HTTP-запроса к ресурсу:

v***erm.freehostia.com

Троянец осуществляет сетевой взаимодействие со следующими хостами:

p***ergi.dk
k***sse.ru
s-***isa.ru
e***a.ru
0***5d30.freehostia.com
a***2ec.110mb.com
8***808.x10hosting.com
c***0abb.awardspace.com
b***5413.exofire.net
b***e135.hostei.com
0***c269.orgfree.com
d***f5ac1.h18.ru
7***d80e.eu.pn

Также троянец может загружать файлы по следующим ссылкам:

http://83.***.208.173/data/setx.txt
http://89.***.66.31/setx.txt
http://216.***.199.76/setx.txt
http://208.***.240.35/setx.txt
http://69.***.6.102/setx.txt
http://69.***.6.102/setx.txt
http://31.***.160.249/setx.txt

На момент создания описания ссылки не работали.

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо воспользоваться Антивирусом Касперского: произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).