Trojan-Downloader.Win32.FraudLoad.wxpf

Технические детали

Троянская программа, загружающая файлы из сети Интернет без ведома пользователя и запускающая их. Является приложением Windows (PE-EXE файл). Имеет размер 58880 байт. Написана на C++.

Инсталляция

После запуска троянец проверяет наличие в системном реестре следующих ключей:

[HKCU\Software\AntivirusXP]
"Key"



[HKCU\Software\RealAV]
"Key"



[HKLM\Software\AntivirusXP]
"Key"



[HKCU\Software\AVR]
"KEY"



[HKLM\Software\AVR]
"KEY"

В противном случае, троянец выполняет следующие действия:

• удаляет файл:

  %System%\winupdate.exe

• Копирует свое тело в следующий файл:

  %System%\winupdate.exe

• Для автоматического запуска созданной копии при каждом следующем старте системы создает ключ системного реестра:
  [HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "winupdate.exe" = "%System%\winupdate.exe"
• Запускает на выполнение созданную копию. После этого троянец завершает свою работу.

Деструктивная активность

После запуска троянец выполняет следующие действия:

• удаляет файл:

  %System%\critical_warning.html

• Извлекает из своего тела файл, который сохраняется в системе как

  %System%\critical_warning.html

  Файл имеет размер 831 байт, и представляет собой HTML-страницу следующего вида:
  
  
  
• Создает ключи системного реестра:
  [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System] "DisableTaskMgr" = "1"
  
  [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoSetActiveDesktop" = "1" "NoActiveDesktopChanges" = "1"
  
  [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop] "NoChangingWallpaper" = "1"
  
  [HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoSetActiveDesktop" = "1" "NoActiveDesktopChanges" = "1"
  
  [HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop] "NoChangingWallpaper" = "1"
  Это приводит к запрету запуска Диспетчера задач Windows, а также к изменению настроек Active Desktop.
• Устанавливает ранее извлеченный файл "%System%\critical_warning.html" в качестве фонового изображения Рабочего стола. Для этого изменяются следующие значения ключей системного реестра:

  [HKCU\Software\Microsoft\Internet Explorer\Desktop\General]
  "TileWallpaper" = "0"
  "WallpaperStyle" = "2"
  "Wallpaper" = "%System%\critical_warning.html"
  "WallpaperFileTime" = "00 98 50 FC 35 A4 C6 01"
  "WallpaperLocalFileTime" = "00 D0 9D 21 4F A4 C6 01"
  
  
  
  [HKCU\Control Panel\Desktop]
  "TileWallpaper" = "0"
  "WallpaperStyle" = "2"

• Загружает из сети Интернет файлы по следующим ссылкам:

  http://do****vr6.com/dfghfghgfj.dll
  http://do****vr6.com/cgi-bin/download.pl?code=

  Загруженные файлы сохраняются в системе как

  %System%\winhelper.dll

  (На момент создания описания загружался файл размером 22528 байт; детектируется Антивирусом Касперского как "Trojan-Ransom.Win32.Agent.jc")

  %System%\AVR09.exe

  (На момент создания описания загружался файл размером 1172480 байт; детектируется Антивирусом Касперского как "Trojan.Win32.FraudPack.acik")
• Запускает системную утилиту "regsvr32.exe" со следующими параметрами:

  /s %System%\winhelper.dll

  Это приводит к запуску исполняемого кода загруженной ранее библиотеки "%System%\winhelper.dll".
• Для идентификации своего присутствия в системе создает ключ системного реестра:
  [HKCU\Software] "8636065b-fef0-4255-b14f-54639f7900a4" = "8636065b-fef0-4255-b14f-54639f7900a4"
• Открывает в браузере, установленном по умолчанию, ссылку:

  http://ad******er-2009.com/buy/?code=

  В отдельном потоке в бесконечном цикле выгружает из системной памяти следующие процессы:

  AcroRd32.exe    
  rstrui.exe  
  CloneCD.exe 
  cmd.exe 
  digitaleditions.exe 
  freecell.exe    
  FullTiltPoker.exe   
  GOM.exe 
  hrtzzm.exe  
  Icq.exe 
  Illustrator.exe 
  miranda32.exe   
  moviemk.exe 
  mplay32.exe 
  mplayer2.exe    
  mshearts.exe    
  msimn.exe   
  msmsgs.exe  
  mspaint.exe 
  MSWorks.exe 
  Nero.exe    
  NeroExpressPortable.exe 
  nfs.exe 
  OIS.exe 
  OUTLOOK.exe 
  Photoshop.exe   
  pinball.exe 
  PokerStars.exe  
  POWERPNT.exe    
  realplay.exe    
  RecordingManager.exe    
  RegCloneCD.exe  
  regedit.exe 
  RwcRun.exe  
  RWipeRun.exe    
  shvlzm.exe  
  skypePM.exe 
  RealPlayer.exe  
  POWERPOI.exe    
  word.exe    
  EXCEL.exe   
  MsnMsgr.Exe 
  chrome.exe  
  GoogleEarth.exe 
  wupdmgr.exe 
  Skype.exe   
  sndvol32.exe    
  sol.exe 
  setup_wm.exe    
  spider.exe  
  taskmgr.exe 
  thebat.exe  
  msconfig.exe    
  uTorrent.exe    
  vmware.exe  
  winmine.exe 
  WinRAR.exe  
  WINWORD.exe 
  control.exe 
  notepad.exe 
  calc.exe    
  wmplayer.exe

• В отдельном потоке в бесконечном цикле через каждые 12 минут запускает загруженный ранее файл:

  %System%\AVR09.exe

• В отдельном потоке в бесконечном цикле через каждые 20 минут загружает из сети Интернет файлы по следующей ссылке:

  http://te****wn.com/cgi-bin/get.pl?l=

  (На момент создания описания ссылка не работала)
  
  Загруженные файлы сохраняются в системе под случайными именами:

  %System%\<rnd>.exe

  где <rnd> – случайное десятичное число.

После успешной загрузки файлы запускаются на выполнение.

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

1. Удалить ключи системного реестра (как работать с реестром?):
   [HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "winupdate.exe" = "%System%\winupdate.exe"
   
   [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System] "DisableTaskMgr" = "1"
   
   [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoSetActiveDesktop" = "1" "NoActiveDesktopChanges" = "1"
   
   [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop] "NoChangingWallpaper" = "1"
   
   [HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoSetActiveDesktop" = "1" "NoActiveDesktopChanges" = "1"
   
   [HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop] "NoChangingWallpaper" = "1"
   
   [HKCU\Software] "8636065b-fef0-4255-b14f-54639f7900a4" = "8636065b-fef0-4255-b14f-54639f7900a4"
2. При помощи Диспетчера задач завершить следующие процессы:

   winupdate.exe
   AVR09.exe

3. Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
4. Восстановить исходные значения ключей системного реестра (как работать с реестром?):
   [HKCU\Software\Microsoft\Internet Explorer\Desktop\General] "TileWallpaper" = "0" "WallpaperStyle" = "2" "Wallpaper" = "%System%\critical_warning.html" "WallpaperFileTime" = "00 98 50 FC 35 A4 C6 01" "WallpaperLocalFileTime" = "00 D0 9D 21 4F A4 C6 01"
   
   [HKCU\Control Panel\Desktop] "TileWallpaper" = "0" "WallpaperStyle" = "2"
5. Отменить регистрацию загруженной троянцем библиотеки "%System%\winhelper.dll". Для этого следует запустить системную утилиту "regsvr32.exe" со следующими параметрами:

   /u %System%\winhelper.dll

6. Удалить файлы:

   %System%\winupdate.exe
   %System%\critical_warning.html
   %System%\winhelper.dll
   %System%\AVR09.exe 
   %System%\.exe

7. Очистить каталог (Как удалить инфицированные файлы в папке Temporary Internet Files?):

   %Temporary Internet Files%

8. Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).

Резюме

• Trojan-Banker. Похищает конфиденциальную информацию от банков, финансовых учреждений, платежных систем

• Trojan-Dropper. Скрытно устанавливает в систему другие вредоносные программы

• Выполняет потенциально-опасные действия

Технические детали

Имеет размер 58880 байт.

Инсталляция

После запуска создает свои копии под следующими именами:

• Системный каталог ОС Windows (обычно, C:\Windows\System32)%System%\winupdate.exe

Создает следующие файлы на зараженном компьютере:

• Системный каталог ОС Windows (обычно, C:\Windows\System32)%System%\critical_warning.html (­детектируется антивирусом Касперского как­ Trojan.HTML.Fraud.b)

Обеспечивает Используя системный реестр, системные службы или специальные системные файлы, программа может обеспечивать свой запуск или запуск созданных ею файлов при каждой следующей загрузке ОС Windowsавтозагрузку следующих установленных файлов:

путем прописывания в ключах автозапуска системного реестра:

[ Ветка системного реестра HKEY_LOCAL_MACHINEHKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run ] "winupdate.exe" = " Системный каталог ОС Windows (обычно, C:\Windows\System32)%System%\winupdate.exe"

Вредоносная активность

Похищает конфиденциальную информацию пользователя от Вредоносная программа, предназначенная для кражи пользовательской информации, относящейся к банковским системам, системам электронных платежей и пластиковых карт. Найденная информация передается злоумышленнику при помощи электронной почты, ftp, web и других способов.
Подробнее можно прочитать здесь: http://www.viruslist.com/ru/analysis?pubid=204007628следующих банков, финансовых учреждений, платежных систем:

• Visa

Создает следующие файлы:

• Системный каталог ОС Windows (обычно, C:\Windows\System32)%System%\winhelper.dll (­детектируется антивирусом Касперского как­ Trojan-Ransom.Win32.Agent.jc)
• Системный каталог ОС Windows (обычно, C:\Windows\System32)%System%\AVR09.exe (­детектируется антивирусом Касперского как­ Trojan.Win32.FraudPack.acik)
• Стандартный каталог установленных программ в ОС Windows (обычно, C:\Program Files)%Program Files%\AdvancedVirusRemover\AVR.exe (­детектируется антивирусом Касперского как­ Trojan.Win32.FraudPack.acik)

После чего обеспечивается Используя системный реестр, системные службы или специальные системные файлы, программа может обеспечивать свой запуск или запуск созданных ею файлов при каждой следующей загрузке ОС Windowsавтозагрузка установленных файлов:

путем прописывания в ключах автозапуска системного реестра:

[ Ветка системного реестра HKEY_CURRENT_USERHKCU\Software\Microsoft\Windows\CurrentVersion\Run ] "Advanced Virus Remover" = " Стандартный каталог установленных программ в ОС Windows (обычно, C:\Program Files)%Program Files%\AdvancedVirusRemover\AVR.exe"

Следующие файлы запускаются на исполнение:

• Системный каталог ОС Windows (обычно, C:\Windows\System32)%System%\winhelper.dll
• Системный каталог ОС Windows (обычно, C:\Windows\System32)%System%\AVR09.exe (­осуществляется многократный запуск­)

Обращается к следующим адресам в Интернете:

• http://***nloadavr6.com/loads.php?code=
• http://***nloadavr6.com/dfghfghgfj.dll
• http://***nloadavr6.com/cgi-bin/download.pl?code=
• http://***tavrdown.com/cgi-bin/get.pl?l=

Для определения своего присутствия в системе создает уникальные идентификаторы "mutex"

• StartProgramm

Пытается найти файлы на компьютере пользователя по следующим маскам:

• *.*

Прочие действия

Производит запуск следующих файлов (команд):

• Системный каталог ОС Windows (обычно, C:\Windows\System32)%System%\winupdate.exe
• Системный каталог ОС Windows (обычно, C:\Windows\System32)%System%\41.exe
• Системный каталог ОС Windows (обычно, C:\Windows\System32)%System%\18467.exe
• Системный каталог ОС Windows (обычно, C:\Windows\System32)%System%\6334.exe
• Системный каталог ОС Windows (обычно, C:\Windows\System32)%System%\26500.exe
• Системный каталог ОС Windows (обычно, C:\Windows\System32)%System%\19169.exe
• Системный каталог ОС Windows (обычно, C:\Windows\System32)%System%\15724.exe
• Системный каталог ОС Windows (обычно, C:\Windows\System32)%System%\11478.exe
• Системный каталог ОС Windows (обычно, C:\Windows\System32)%System%\29358.exe
• Системный каталог ОС Windows (обычно, C:\Windows\System32)%System%\26962.exe
• Системный каталог ОС Windows (обычно, C:\Windows\System32)%System%\24464.exe
• Системный каталог ОС Windows (обычно, C:\Windows\System32)%System%\5705.exe
• Системный каталог ОС Windows (обычно, C:\Windows\System32)%System%\28145.exe
• Системный каталог ОС Windows (обычно, C:\Windows\System32)%System%\23281.exe
• Системный каталог ОС Windows (обычно, C:\Windows\System32)%System%\16827.exe
• Системный каталог ОС Windows (обычно, C:\Windows\System32)%System%\9961.exe
• Системный каталог ОС Windows (обычно, C:\Windows\System32)%System%\491.exe
• Системный каталог ОС Windows (обычно, C:\Windows\System32)%System%\2995.exe
• Системный каталог ОС Windows (обычно, C:\Windows\System32)%System%\11942.exe
• Системный каталог ОС Windows (обычно, C:\Windows\System32)%System%\4827.exe
• Системный каталог ОС Windows (обычно, C:\Windows\System32)%System%\5436.exe

Изменяет следующие ключи системного реестра:

[ Ветка системного реестра HKEY_CURRENT_USERHKCU\Software ] "8636065b-fef0-4255-b14f-54639f7900a4" = "8636065b-fef0-4255-b14f-54639f7900a4"

[ Ветка системного реестра HKEY_CURRENT_USERHKCU\Software\AVR ] "LastVFC" = "25"

[ Ветка системного реестра HKEY_CURRENT_USERHKCU\Software\AVR ] "VirList" = "31|41|14|18|27|43|4|7|52|49|50|7|24|18|0|23|4|49|7|2|1|3|9|51|29|8"

[ Ветка системного реестра HKEY_CURRENT_USERHKCU\Software\AVR ] "LastD" = "14"

Удаляет следующие файлы на зараженном компьютере:

• Системный каталог ОС Windows (обычно, C:\Windows\System32)%System%\AVR09.exe
• Каталог текущего пользователя (обычно, C:\Documents and Settings\<Имя_текущего_пользователя>)%UserDir%\Desktop\Advanced Virus Remover.lnk
• Каталог текущего пользователя (обычно, C:\Documents and Settings\<Имя_текущего_пользователя>)%UserDir%\Start Menu\Advanced Virus Remover.lnk
• Каталог текущего пользователя (обычно, C:\Documents and Settings\<Имя_текущего_пользователя>)%UserDir%\Application Data\Microsoft\Internet Explorer\Quick Launch\Advanced Virus Remover.lnk