Trojan-Dropper.Win32.Agent.ezqm

Технические детали
Деструктивная активность
Рекомендации по удалению

Технические детали

Троянская программа, которая устанавливает и запускает другое программное обеспечение на зараженном компьютере без ведома пользователя. Является приложением Windows (PE-EXE файл). Имеет размер 231124 байта. Написана на C++.

Деструктивная активность

После запуска вредонос выполняет поиск запущенного процесса с именем:

Garss.exe

Если такой процесс был запущен – троянец прекращает свое выполнение.

Далее троянец извлекает из своего тела файл, который сохраняет в каталоге хранения временных файлов под именем:

%Temp%\<rnd>_res.tmp

где <rnd> – случайная цифровая последовательность. Затем перемещает данный файл и сохраняет его под именем:

%Documents and Settings%\QQCRT.DLL

Файл имеет размер 22154588 байт и детектируется антивирусом Касперского как Trojan-GameThief.Win32.Magania.erpe. Также вредонос перемещает системный файл:

%System%\rundll32.exe

в

C: \Program Files\Garss.exe

Далее, используя командную строку, запускает вредоносную библиотеку на выполнение:

C:\Program Files\Garss.exe "C:\Documents and Settings\QQCRT.DLL" Main

Для автозапуска вредоносной библиотеки троянец модифицирует системную службу "BITS". Для этого троянец создает и запускает файл системного реестра с именем:

C:\1.reg

после чего в системный реестр добавляется следующая информация:

[HKLM\System\CurrentControlSet\Services\BITS]
"Type"=dword:00000020
"Start"=dword:00000002
"ErrorControl"=dword:00000001
"ImagePath"="%SystemRoot%\system32\svchost.exe -k netsvcs"
"DisplayName"="Фоновая интеллектуальная служба передачи (BITS)"
"DependOnService"=hex(7):52,70,63,53,73,00,00
"DependOnGroup"=hex(7):00
"ObjectName"="LocalSystem"
"Description"="Обеспечивает передачу данных между клиентами и серверами в фоновом режиме. Если служба BITS отключена, такие возможности, как Windows Update, не могут правильно работать."
"FailureActions"=hex:00,00,00,00,00,00,00,00,00,00,00,00,03,00,00,00,68,e3,0c,\
00,01,00,00,00,60,ea,00,00,01,00,00,00,60,ea,00,00,01,00,00,00,60,ea,00,00

[HKLM\System\CurrentControlSet\Services\BITS\Parameters]
"ServiceDll"="%Documents and Settings%\QQCRT.DLL"

После запуска файл "1.reg" удаляется. Также троянец выполняет поиск антивирусных процессов:

RsTray.exe
360tray.exe

и в отдельных потоках выполняет активное противодействие антивирусным приложениям. Также вредонос может копировать свой исполняемый файл под именем:

C:\Program Files\QQ.EXE

Создает файл с именем:

C:\LoadLibrary.exe

который также может перемещаться троянцем и сохранятся с именем:

%Documents and Settings%\%Current User%\Главное меню\X.exe

Файл имеет размер 36752 байта. При помощи данного файла троянец запускает вредоносную библиотеку на выполнение. Извлекает из себя и пытается установить сертификат:

%WinDir%\Windows.cer – имеет размер 590 байт.

После своего выполнения троянец выполняет самоудаление.

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

1. Остановить выполнение службы "BITS".
2. Удалить файл:

   %Documents and Settings%\QQCRT.DLL

3. Восстановить значение параметра "ServiceDll" ключа системного реестра:

   [HKLM\System\CurrentControlSet\Services\BITS\Parameters]
   "ServiceDll"="%Documents and Settings%\QQCRT.DLL"

   заменить на

   [HKLM\System\CurrentControlSet\Services\BITS\Parameters]
   "ServiceDll" = "%SystemRoot%\System32\qmgr.dll"

4. Восстановить работу службы "BITS".
5. Удалить файлы:

   C:\Program Files\QQ.EXE
   C:\LoadLibrary.exe
   %Documents and Settings%\%Current User%\Главное меню\X.exe
   %WinDir%\Windows.cer
   

6. Переименовать файл:

   C: \Program Files\Garss.exe

   в

   %System%\rundll32.exe

7. Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).

MD5: b8ae1e3ce04afa9d7aa1752b9e93641b

SHA1: 03af00527ff7710b978ed32a81250d29fcbeead2