Trojan-Downloader.Win32.Agent.cpnc

Технические детали

Троянская программа, которая без ведома пользователя скачивает на компьютер другое программное обеспечение и запускает его на исполнение. Программа является динамической библиотекой Windows (PE DLL-файл). Имеет размер 208896 байт. Написана на С++.

Инсталляция

После запуска троянец создает свою копию в том же каталоге, что и оригинального тело, заменяя расширение файла на "ocx".

Деструктивная активность

Далее троянец определяет путь к каталогам, в которых находятся файлы соответствующие запущенным на компьютере пользователя процессам. Если в этих каталоге находился хоть один из следующих файлов:

antiRK.dll
safekrnl.dll
safemon.dll
AntiAdwa.dll
antispy.dll
SafeboxApi.dll
safeext.dll
AntiEng.dll
check.dll
KKClean.dll
KakaMgr.dll
kscanex.dll
BWList.dll
RsXML.dll
RfwRule.dll
AstShellEx.dll
prremote.dll
pr_remote.dll
kav32res.dll
npcLUStb.exe
npcLUEng.dll
LuccMUI.dll
symlcnet.dll
Iparmor4.dll
SocketArmor.dll
SRE*.EXE

BitComet.exe
bittorrent.exe
BitSpirit.exe
azureus.exe
emule.exe
Thunder5.exe
Thunder.exe
flashget.exe
RfwMain.exe
rfwsrv.exe
runiep.exe
avp.exe
KPFW32.exe
KPFW32X.exe
KPFWSvc.exe
PFWMain.exe
ast.exe
USBSAFE.exe
Iparmor.exe
safeboxTray.exe
360tray.exe
360Safe.exe
360rpt.exe

svchost.exe

• Устанавливает следующие значения:

  [HKLM\SOFTWARE\360Safe]
  "UdiskAccess" = "0"
  "ExecAccess" = "0"
  "IEProtAccess" = "0"
  "LeakAccess" = "0"
  "MonAccess" = "0"
  "SiteAccess" = "0"
  

• Удаляет ключи реестра:
  [HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal] [HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network] [HKLM\SOFTWARE\Kingsoft\AntiVirus\KavPFW] [HKLM\SOFTWARE\Kingsoft\AntiVirus\AntiSpam] [HKLM\SOFTWARE\Kingsoft\AntiVirus\KAC] [HKLM\SYSTEM\CurrentControlSet\Services\KWatch3] [HKLM\SYSTEM\CurrentControlSet\Services\KPfwSvc] [HKLM\SYSTEM\CurrentControlSet\Services\KNetWch] [HKLM\SYSTEM\CurrentControlSet\Services\KAVSafe] [HKLM\SYSTEM\CurrentControlSet\Services\KAVBootC] [HKLM\SYSTEM\CurrentControlSet\Services\KAVBase] [HKLM\SOFTWARE\Kingsoft\AntiVirus\Update] [HKLM\SOFTWARE\Kingsoft\AntiVirus\KMailMon] [HKLM\SOFTWARE\Kingsoft\AntiVirus\KAVReport] [HKLM\SOFTWARE\rising\KaKa] [HKLM\SOFTWARE\rising\KaKaToolBar] [HKLM\SOFTWARE\KasperskyLab] [HKLM\SYSTEM\CurrentControlSet\Services\klbg] [HKLM\SYSTEM\CurrentControlSet\Services\KLIF] [HKLM\SYSTEM\CurrentControlSet\Services\klim5] [HKLM\SYSTEM\CurrentControlSet\Services\AVP] [HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\PendingFileRenameOperations] [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options] [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy] [HKLM\SYSTEM\CurrentControlSet\Services\SafeBoxKrnl] [HKLM\SYSTEM\CurrentControlSet\Services\360procmon] [HKLM\SOFTWARE\360Safe]
• Удаляет из ключа автозагрузки параметры со следующими именами:

  [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
  "360Safetray"
  "360Safebox"
  "360Antiarp"
  "runeip"
  "Iparmor"
  "AVP"
  

  Далее троянец загружает файл со следующего URL:

  http://www.ay*****nfo/kernel/usa.txt

  На момент создания описания ссылка не работала.
  Скачанный файл сохраняется под именем:

  %System%\acpi24.cnm

  Из этого файла троянец читает URLs, по которым будут загружаться и запускаться на исполнение другие файлы. Эти файлы троянец сохраняет в системном каталоге Windows с именами "NetGuy.exe" (где - порядковый номер ссылки, по которой загружался файл):

  %System%\NetGuy.exe

  Также троянец создает службы с именами:

  acpi24
  acpi24Drv
  

  и добавляет следующую информацию в ключ системного реестра:

  [HKLM\SYSTEM\CurrentControlSet\Services\acpi24]
  "Description" = "passthrough"
  "DisplayName" = "acpi24"
  "ErrorControl" = "1"
  "ImagePath" = "%System%\acpi24.exe"
  "Start" = "2"
  "Type" = "16"
  

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

1. При помощи Диспетчера задач завершить вредоносный процесс с именем:

   svchost.exe

2. Удалить службы с именами:

   acpi24
   acpi24Drv
   

3. Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер) и файл расположенный в том же каталоге и с тем же именем, но с расширением "ocx".
4. Удалить файл:

   %System%\acpi24.cnm

5. Удалить файлы по следующей маске:

   %System%\NetGuy.exe

6. Удалить ключи реестра (как работать с реестром?):

   [HKLM\SYSTEM\CurrentControlSet\Services\acpi24]
   
   [HKLM\SYSTEM\CurrentControlSet\Services\acpi24Drv]
   

7. Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).