Backdoor.Win32.Agent.wja

Технические детали
Деструктивная активность
Рекомендации по удалению

Технические детали

Вредоносная программа, предоставляющая злоумышленнику удаленный доступ к зараженной машине. Является приложением Windows (PE–EXE файл). Имеет размер 20480 байт. Написана на C++.

Инсталляция

[HKLM\System\CurrentControlSet\Services\tagg]

Если ветвь существует, то троянец выполняет действия, описанные в разделе "Деструктивная активность".

В противном случае троянец копирует свое тело в файл:

%System%\tagg.exe

После этого троянец создает и запускает в системе службу с именем "tagg" (отображается в пользовательских приложениях под тем же именем), бинарным файлом которой является ранее созданная копия троянца.

Для удаления своего оригинального файла после завершения его работы троянец запускает системный командный интерпретатор "cmd.exe" со следующими параметрами:

/c  del <полный путь к оригинальному файлу троянца> > nul

После этого троянец завершает свою работу.

Деструктивная активность

После запуска троянец выполняет следующие действия:

• запускает системный командный интерпретатор "cmd.exe" со следующими параметрами:

  /c taskkill /f /im  360tray.exe
  /c taskkill /f /im  rfwmain.exe
  /c taskkill /f /im  rfwsrv.exe
  /c taskkill /f /im  rfwstub.exe
  /c taskkill /f /im  rfwproxy.exe
  

  Это приводит к завершению процессов:

  360tray.exe
  rfwmain.exe
  rfwsrv.exe
  rfwstub.exe
  rfwproxy.exe
  

• Соединяется с сервером:

  *****haoye.3322.org

• Получает значения следующих ключей системного реестра:

  [HKLM\Hardware\Description\System\CentralProcessor\0]
  "ProcessorNameString"
  "~MHz"
  

  Полученная информация отправляется на вышеупомянутый сервер.
• Создает файл:

  c:\bot.txt

  Файл создается с атрибутом "скрытый" и используется для записи временных данных и лога работы троянца.
• Далее троянец переходит в цикл ожидания команд злоумышленника. Реализована обработка следующих команд:

  FUCK

  – завершение троянского процесса, удаление из системы службы "tagg".

  DOWN

  – загрузка файла по переданной троянцу ссылке. Загруженный файл сохраняется во временном каталоге пользователя как

  %Temp%\<rnd>lid.exe

  где <rnd> – случайная последовательность символов.
  
  После успешной загрузки файл запускается на выполнение.

  DATCK

  – загрузка файлов по переданной троянцу ссылке. Загрузка выполняется циклически до тех пор, пока не будет получена команда "stop datck". Загруженные файлы сохраняются как

  %Temp%\dd.exe
  
  UDP, SYN, TCP, ICMP, TCPC, BYCC, ZDCc, TERT, ISC

  – проведение DoS-атак.

  BEIZHU

  – запись переданных троянцу данных в файл

  c:\bot.txt

  GBZJ

  – выключение компьютера.

  CQZJ

  – перезагрузка компьютера.

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

1. Используя Консоль управления MMC (Microsoft Management Console) (вкладка "Службы и приложения\Службы"), остановить работу службы "tagg".
2. Удалить файлы:

   %System%\tagg.exe
   c:\bot.txt
   

3. Удалить загруженные троянцем файлы:

   %Temp%\lid.exe
   %Temp%\dd.exe
   

4. Удалить ветвь системного реестра (как работать с реестром?):

   [HKLM\System\CurrentControlSet\Services\tagg]

5. Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).