Trojan-Downloader.Win32.FraudLoad.wxpy

Технические детали

Троянская программа, загружающая файлы из сети Интернет без ведома пользователя и запускающая их. Является приложением Windows (PE-EXE файл). Имеет размер 19456 байт. Упакована неизвестным упаковщиком. Распакованный размер – около 51 КБ. Написана на C++.

Инсталляция

После запуска троянец копирует свое тело в следующие файлы:

%System%\smss32.exe
%System%\winlogon32.exe

После этого троянец запускает одну из созданных копий и завершает свою работу.

Деструктивная активность

После запуска троянец выполняет следующие действия:

• создает ключи системного реестра:
  [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
  "DisableTaskMgr" = "1"
  
  [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
  "NoSetActiveDesktop" = "1"
  "NoActiveDesktopChanges" = "1"
  
  [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\
  ActiveDesktop] "NoChangingWallpaper" = "1"
  
  [HKLM\Software\Microsoft\Windows\CurrentVersion\policies\explorer]
  "NoSetActiveDesktop" = "1"
  "NoActiveDesktopChanges" = "1"
  
  [HKLM\Software\Microsoft\Windows\CurrentVersion\policies\
  ActiveDesktop] "NoChangingWallpaper" = "1"
  Это приводит к запрету запуска Диспетчера задач Windows, а также к изменению настроек Active Desktop.
• Извлекает из своего тела файл, который сохраняется в системе как

  %System%\warning.html (2931 байт)

  Файл представляет собой HTML-страницу следующего вида:
  
• Устанавливает извлеченный файл в качестве фонового изображения Рабочего стола. Для этого изменяются следующие значения ключей системного реестра:
  [HKCU\Software\Microsoft\Internet Explorer\Desktop\General]
  "TileWallpaper" = "0"
  "WallpaperStyle" = "2"
  "Wallpaper" = "%System%\warning.html"
  
  "HKCU\Control Panel\Desktop]
  "TileWallpaper" = "0"
  "WallpaperStyle" = "2"
  
• Загружает из сети Интернет файлы по следующим ссылкам: http://dow***40.com/cgi-bin/download.pl?code= (На момент создания описания загружался файл размером 1328640 байт; детектируется Антивирусом Касперского как "Trojan.Win32.FraudPack.akqu")

  http://dow***40.com/dfghfghgfj.dll

  (На момент создания описания загружался файл размером 34304 байта; детектируется Антивирусом Касперского как "Trojan.Win32.FraudPack.akps") Загруженные файлы сохраняются в системе соответственно как

  %System%\IS15.exe
  %System%\helper32.dll
  

• Отображает в области уведомлений сообщение следующего вида:
  

Клик по сообщению приводит к запуску загруженного файла "%System%\IS15.exe".

• Блокирует запуск процессов. При этом попытка запуска в системе нового процесса приводит к запуску файла "%System%\IS15.exe". Выдается сообщение:
  
• При попытке перезагрузки компьютера в "безопасном режиме" выдается сообщение:
  
При этом троянец продолжает блокировать запуск процессов.

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо воспользоваться Антивирусом Касперского: произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).

Резюме

• Trojan-Banker. Похищает конфиденциальную информацию от банков, финансовых учреждений, платежных систем

• Trojan-Dropper. Скрытно устанавливает в систему другие вредоносные программы

• Выполняет потенциально-опасные действия

Технические детали

Имеет размер 19456 байт.

Инсталляция

После запуска создает свои копии под следующими именами:

• Системный каталог ОС Windows (обычно, C:\Windows\System32)%System%\smss32.exe
• Системный каталог ОС Windows (обычно, C:\Windows\System32)%System%\winlogon32.exe

Создает следующие файлы на зараженном компьютере:

• c:\s
• Системный каталог ОС Windows (обычно, C:\Windows\System32)%System%\warning.html

Обеспечивает Используя системный реестр, системные службы или специальные системные файлы, программа может обеспечивать свой запуск или запуск созданных ею файлов при каждой следующей загрузке ОС Windowsавтозагрузку следующих установленных файлов:

путем прописывания в ключах автозапуска системного реестра:

[ Ветка системного реестра HKEY_LOCAL_MACHINEHKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run ] "smss32.exe" = " Системный каталог ОС Windows (обычно, C:\Windows\System32)%System%\smss32.exe"

[ Ветка системного реестра HKEY_LOCAL_MACHINEHKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon ] "Userinit" = " Системный каталог ОС Windows (обычно, C:\Windows\System32)%System%\winlogon32.exe"

Вредоносная активность

Похищает конфиденциальную информацию пользователя от Вредоносная программа, предназначенная для кражи пользовательской информации, относящейся к банковским системам, системам электронных платежей и пластиковых карт. Найденная информация передается злоумышленнику при помощи электронной почты, ftp, web и других способов.
Подробнее можно прочитать здесь: http://www.viruslist.com/ru/analysis?pubid=204007628следующих банков, финансовых учреждений, платежных систем:

• Visa

Создает следующие файлы:

• Системный каталог ОС Windows (обычно, C:\Windows\System32)%System%\helper32.dll
• Системный каталог ОС Windows (обычно, C:\Windows\System32)%System%\IS15.exe
• Стандартный каталог установленных программ в ОС Windows (обычно, C:\Program Files)%Program Files%\InternetSecurity2010\IS2010.exe

После чего обеспечивается Используя системный реестр, системные службы или специальные системные файлы, программа может обеспечивать свой запуск или запуск созданных ею файлов при каждой следующей загрузке ОС Windowsавтозагрузка установленных файлов:

путем прописывания в ключах автозапуска системного реестра:

[ Ветка системного реестра HKEY_CURRENT_USERHKCU\Software\Microsoft\Windows\CurrentVersion\Run ] "Internet Security 2010" = " Стандартный каталог установленных программ в ОС Windows (обычно, C:\Program Files)%Program Files%\InternetSecurity2010\IS2010.exe"

Следующие файлы запускаются на исполнение:

• Системный каталог ОС Windows (обычно, C:\Windows\System32)%System%\helper32.dll
• Системный каталог ОС Windows (обычно, C:\Windows\System32)%System%\IS15.exe (­осуществляется многократный запуск­)
• Стандартный каталог установленных программ в ОС Windows (обычно, C:\Program Files)%Program Files%\InternetSecurity2010\IS2010.exe (­осуществляется многократный запуск­)

Обращается к следующим адресам в Интернете:

• http://***nloadavr40.com/loads.php?code=0001094
• http://***nloadavr40.com/dfghfghgfj.dll
• http://***nloadavr40.com/cgi-bin/download.pl?code=0001094
• http://***tavrdown.com/cgi-bin/get.pl?l=0001094

Для определения своего присутствия в системе создает уникальные идентификаторы "mutex"

• StartProgramm

Пытается найти файлы на компьютере пользователя по следующим маскам:

• *.*

Прочие действия

Производит запуск следующих файлов (команд):

• Системный каталог ОС Windows (обычно, C:\Windows\System32)%System%\smss32.exe
• Системный каталог ОС Windows (обычно, C:\Windows\System32)%System%\41.exe
• Системный каталог ОС Windows (обычно, C:\Windows\System32)%System%\18467.exe
• Системный каталог ОС Windows (обычно, C:\Windows\System32)%System%\6334.exe
• Системный каталог ОС Windows (обычно, C:\Windows\System32)%System%\26500.exe
• Системный каталог ОС Windows (обычно, C:\Windows\System32)%System%\19169.exe
• Системный каталог ОС Windows (обычно, C:\Windows\System32)%System%\15724.exe
• Системный каталог ОС Windows (обычно, C:\Windows\System32)%System%\11478.exe
• Системный каталог ОС Windows (обычно, C:\Windows\System32)%System%\29358.exe
• Системный каталог ОС Windows (обычно, C:\Windows\System32)%System%\26962.exe
• Системный каталог ОС Windows (обычно, C:\Windows\System32)%System%\24464.exe
• Системный каталог ОС Windows (обычно, C:\Windows\System32)%System%\5705.exe
• Системный каталог ОС Windows (обычно, C:\Windows\System32)%System%\28145.exe
• Системный каталог ОС Windows (обычно, C:\Windows\System32)%System%\23281.exe
• Системный каталог ОС Windows (обычно, C:\Windows\System32)%System%\16827.exe
• Системный каталог ОС Windows (обычно, C:\Windows\System32)%System%\9961.exe
• Системный каталог ОС Windows (обычно, C:\Windows\System32)%System%\491.exe
• Системный каталог ОС Windows (обычно, C:\Windows\System32)%System%\2995.exe
• Системный каталог ОС Windows (обычно, C:\Windows\System32)%System%\11942.exe
• Системный каталог ОС Windows (обычно, C:\Windows\System32)%System%\4827.exe
• Системный каталог ОС Windows (обычно, C:\Windows\System32)%System%\5436.exe

Изменяет следующие ключи системного реестра:

[ Ветка системного реестра HKEY_CURRENT_USERHKCU\Software ] "8636065b-fef0-4255-b14f-54639f7900a4" = "8636065b-fef0-4255-b14f-54639f7900a4"

[ Ветка системного реестра HKEY_CURRENT_USERHKCU\Software\IS2010 ] "LastVFC" = "25"

[ Ветка системного реестра HKEY_CURRENT_USERHKCU\Software\IS2010 ] "VirList" = "52|45|9|32|18|56|53|15|53|37|2|49|14|14|4|1|42|16|38|8|28|32|38|3|21|13"

[ Ветка системного реестра HKEY_CURRENT_USERHKCU\Software\IS2010 ] "LastD" = "14"

Удаляет следующие файлы на зараженном компьютере:

• Системный каталог ОС Windows (обычно, C:\Windows\System32)%System%\IS15.exe
• Каталог текущего пользователя (обычно, C:\Documents and Settings\<Имя_текущего_пользователя>)%UserDir%\Desktop\Internet Security 2010.lnk
• Каталог текущего пользователя (обычно, C:\Documents and Settings\<Имя_текущего_пользователя>)%UserDir%\Start Menu\Internet Security 2010.lnk
• Каталог текущего пользователя (обычно, C:\Documents and Settings\<Имя_текущего_пользователя>)%UserDir%\Application Data\Microsoft\Internet Explorer\Quick Launch\Internet Security 2010.lnk