Trojan-Downloader.Win32.Agent.flnw

Технические детали
Деструктивная активность
Рекомендации по удалению

Технические детали

Троянская программа, которая без ведома пользователя скачивает на компьютер другое программное обеспечение. Является приложением Windows (PE-EXE файл). Имеет размер 24576 байт. Написана на Visual Basic.

Деструктивная активность

После запуска троянец выполняет загрузку файлов со следующих URL адресов:

http://www.i***il.fr/dif/images/autofmtpl.jpg
http://www.i***il.fr/dif/images/autoplayfi.jpg
http://www.i***il.fr/dif/images/autochkju.jpg

Троянец сохраняет загруженные файлы под следующими именами соответственно:

c:\windows\system32\autofmtpl.exe

На момент создания описания загружался файл размером 94208 байт, который детектируется Антивирусом Касперского как Trojan.Win32.VBKrypt.arfy.

c:\windows\system32\autoplayfi.exe

На момент создания описания загружался файл размером 118784 байта, который детектируется Антивирусом Касперского как P2P-Worm.Win32.SpyBot.pzu.

c:\windows\system32\autochkju.exe

На момент создания описания загружался файл размером 57344 байта, который детектируется Антивирусом Касперского как Trojan-Banker.Win32.Banker2.ajh. Затем троянец запускает на выполнение скачанные файлы и завершает свою работу.

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

1. Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
2. Удалить файлы:

   c:\windows\system32\autofmtpl.exe
   c:\windows\system32\autoplayfi.exe
   c:\windows\system32\autochkju.exe
   

3. Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).

Резюме

• Trojan-Banker. Похищает конфиденциальную информацию от банков, финансовых учреждений, платежных систем

• Trojan-Dropper. Скрытно устанавливает в систему другие вредоносные программы

• Осуществляет сетевую активность

Технические детали

Имеет размер 24576 байт.

Вредоносная активность

Похищает конфиденциальную информацию пользователя от Вредоносная программа, предназначенная для кражи пользовательской информации, относящейся к банковским системам, системам электронных платежей и пластиковых карт. Найденная информация передается злоумышленнику при помощи электронной почты, ftp, web и других способов.
Подробнее можно прочитать здесь: http://www.viruslist.com/ru/analysis?pubid=204007628следующих банков, финансовых учреждений, платежных систем:

• Bradesco group

Создает следующие файлы:

• Системный каталог ОС Windows (обычно, C:\Windows\System32)%System%\autofmtpl.exe (­детектируется антивирусом Касперского как­ Trojan.Win32.VBKrypt.aepa)
• Системный каталог ОС Windows (обычно, C:\Windows\System32)%System%\autoplayfi.exe
• Системный каталог ОС Windows (обычно, C:\Windows\System32)%System%\autochkju.exe (­детектируется антивирусом Касперского как­ Trojan-Banker.Win32.Banker2.ari)

После чего обеспечивается Используя системный реестр, системные службы или специальные системные файлы, программа может обеспечивать свой запуск или запуск созданных ею файлов при каждой следующей загрузке ОС Windowsавтозагрузка установленных файлов:

путем прописывания в ключах автозапуска системного реестра:

[ Ветка системного реестра HKEY_LOCAL_MACHINEHKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run ] "autoplayfi" = " Системный каталог ОС Windows (обычно, C:\Windows\System32)%System%\autoplayfi.exe"

[ Ветка системного реестра HKEY_LOCAL_MACHINEHKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run ] "autochkju" = " Системный каталог ОС Windows (обычно, C:\Windows\System32)%System%\autochkju.exe"

Следующие файлы запускаются на исполнение:

• Системный каталог ОС Windows (обычно, C:\Windows\System32)%System%\autofmtpl.exe
• Системный каталог ОС Windows (обычно, C:\Windows\System32)%System%\autoplayfi.exe
• Системный каталог ОС Windows (обычно, C:\Windows\System32)%System%\autochkju.exe

Создает соединение со следующими адресами в Интернете:

• ***.45.196.22:39173

Обращается к следующим адресам в Интернете:

• http://www.***il.fr/dif/images/autofmtpl.jpg
• http://www.***il.fr/dif/images/autoplayfi.jpg
• http://www.***il.fr/dif/images/autochkju.jpg

Для определения своего присутствия в системе создает уникальные идентификаторы "mutex"

• ZonesCounterMutex
• ZonesCacheCounterMutex
• ZonesLockedCacheCounterMutex
• RasPbFile

Пытается найти файлы на компьютере пользователя по следующим маскам:

• Program Files*.*
• *.*
• Downloaded Program Files*.*

Прочие действия

Изменяет следующие ключи системного реестра:

[ Ветка системного реестра HKEY_LOCAL_MACHINEHKLM\SOFTWARE\Description\Microsoft\Rpc\UuidTemporaryData ] "NetworkAddressLocal" = "0x0"

[ Ветка системного реестра HKEY_LOCAL_MACHINEHKLM\SOFTWARE\Microsoft\MSSQLServer\Client\SuperSocketNetLib\LastConnect ] "187.45.196.22" = "-687210486:tcp:187.45.196.22,1433"