Trojan-Downloader.Win32.VB.bnp

Технические детали

Троянская программа. Является приложением Windows (PE EXE-файл). Имеет размер 117248 байт. Упакована при помощи UPX. Распакованный размер — около 280 КБ. Написана на Visual Basic.

Инсталляция

После запуска троянец создает в системном каталоге Windows каталог с именем "DETER177" и копирует в него свое тело под именами "lsass.exe", "smss.exe" и "svсhоst.exe":

После этого меняет атрибуты каталога и созданных файлов на "скрытые" и "системные".

Кроме того, копирует свое тело в системный каталог Windows под именами "ctfmon" и "АHTОMSYS19.exe":

Следует обратить внимание, что некоторые буквы в названиях этих файлов указаны в русской кодировке.

Для автоматического запуска при каждом следующем старте системы троянец добавляет ссылку на свой исполняемый файл в ключи системного реестра:

Для введения пользователя в заблуждение файл троянца имеет иконку обычного каталога Windows.

Деструктивная активность

Троянец отключает показ скрытых файлов для приложения Explorer.exe, устанавливая следующие параметры ключа системного реестра:

Так же отключает показ расширений файлов для приложения Explorer.exe, устанавливая следующий параметр ключа системного реестра:

Для предотвращения возможности восстановить эти параметры штатными средствами троянец отключает пункт меню "Свойства папки" для приложения Explorer.exe, устанавливая следующий параметр ключа системного реестра:

После чего троянец создает в системном каталоге Windows скрытый файл "рsаdоr18.dll":

В этот файл троянец помещает следующие адреса электронной почты:

Также троянец извлекает из своего тела руткит "рsagоr18.sys". Данный файл помещается в рабочий каталог троянца. В данном рутките содержатся функции для скрытия файлов "рsаdоr18.dll" и "АHTОMSYS19.exe", а так же предоставление троянцу наивысшего приоритета в системе, что делает невозможным удаление троянских файлов и завершение троянских процессов.

При завершении работы системы данный файл удаляется, после чего создается снова при перезагрузке.

Во время работы троянец отслеживает появление в системе окон со следующими заголовками:

В случае обнаружения такие окна будут закрываться автоматически.

Также троянец отслеживает появление в системе флеш-устройств. В случае обнаружения троянец копирует туда свое тело под именем "CDburn.exe" и создает файл "autorun.inf" со ссылкой на свое тело. Таким образом, файл троянца будет автоматически запущен при каждом следующем подключении данного устройства.

Также троянец собирает на зараженном компьютере адреса электронной почты и рассылает на них письмо без темы следующего содержания:

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

1. Перезагрузить компьютер в «безопасном режиме» (в самом начале загрузки компьютера нажать и удерживать F8, а затем выбрать пункт Safe Mode в меню загрузки Windows).
2. Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
3. Удалить файлы, созданные троянцем:
   %System%\DETER177\lsass.exe
   %System%\DETER177\smss.exe
   %System%\DETER177\svсhоst.exe
   %System%\ctfmon.exe
   %System%\АHTОMSYS19.exe
   %System%\рsаdоr18.dll
4. Удалить ключи системного реестра:
   [HKLM\Software\Microsoft\CurrentVersion\Run]
   "ctfmon" = "%System%\ctfmon.exe"
   "lsass" = "%System%\DETER177\lsass.exe"
5. Перезагрузить компьютер в обычном режиме.
6. Заменить ключи системного реестра:
   [HKLM\Software\Microsoft\CurrentVersion\Winlogon]
   "Shell" = "Explorer.exe %System%\АHTОMSYS19.exe"

   на

   [HKLM\Software\Microsoft\CurrentVersion\Winlogon]
   "Shell" = "Explorer.exe"
   
   ----------------------------------------------------------------------------------------------------------------
   [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   "Hidden" = "0"
   "ShowSuperHidden" = "0"
   "HideFileExt" = "1"

   на

   [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   "Hidden" = ""
   "ShowSuperHidden" = ""
   "HideFileExt" = ""
   
   ----------------------------------------------------------------------------------------------------------------
   [HKLM\Software\Microsoft\Windows\CurrentVersion\policies\explorer]
   "NoFolderOptions" = "1"

   на

   [HKLM\Software\Microsoft\Windows\CurrentVersion\policies\explorer]
   "NoFolderOptions" = ""
7. Проверить все флэш-накопители, которые подключались к зараженному компьютеру, на наличие следующих файлов в корневом каталоге:
   CDburn.exe
   autorun.inf

   Если такие файлы существуют, удалить их.

8. Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).