Trojan-Dropper.Win32.Agent.czxz

Технические детали
Деструктивная активность
Рекомендации по удалению

Технические детали

Троянская программа, устанавливающая другие программы на компьютере пользователя без его ведома. Является приложением Windows (PE-EXE файл). Имеет размер 41521 байт. Написана на C++.

Инсталляция

После запуска троянец останавливает одну из следующих системных служб:

AppMgmt
BITS
FastUserSwitchingCompatibility
WmdmPmSN
xmlprov
Ntmssvc
upnphost
SSDPSRV
Netman
Nla
Tapisrv
Browser
Themes
CryptSvc
helpsvc
RemoteRegistry
Schedule

Затем троянец извлекает из своего тела файл и подменяет им одну из библиотек:

%System%\appmgmts.dll
%System%\qmgr.dll
%System%\shsvcs.dll
%System%\mspmsnsv.dll
%System%\xmlprov.dll
%System%\es.dll
%System%\ntmssvc.dll
%System%\upnphost.dll
%System%\ssdpsrv.dll
%System%\netman.dll
%System%\mswsock.dll
%System%\tapisrv.dll
%System%\browser.dll
%System%\shsvcs.dll
%System%\cryptsvc.dll
%System%\pchsvc.dll
%System%\regsvc.dll
%System%\schedsvc.dll

Извлеченный файл имеет размер 18432 байта; детектируется Антивирусом Касперского как "Trojan-Downloader.Win32.Agent.ctcq".

Далее работа остановленной службы возобновляется.

Для удаления своего оригинального файла после завершения его работы троянец создает в каталоге хранения временных файлов пользователя сценарий командного интерпретатора:

%Temp%\Thkr.bat

следующего содержания:

:DELFILE
del "<полный путь к оригинальному файлу троянца>"
if exist "<полный путь к оригинальному файлу троянца>" goto DELFILE
del "%Temp%\Thkr.bat"

После этого троянец запускает созданный сценарий и завершает свою работу. При этом файл "Thkr.bat" также удаляется.

Деструктивная активность

Запуск исполняемого кода извлеченной троянцем библиотеки приводит к следующим последствиям:

• из тела библиотеки извлекается файл:

  %Temp%\Umont.sys

  (3712 байт; детектируется Антивирусом Касперского как "Rootkit.Win32.Small.arx")
• В системе создается и запускается служба с именем "Umont", бинарным файлом которой является извлеченный файл "Umont.sys".
• Удаляется файл:

  %Temp%\Umont.sys

• Удаляется ветвь системного реестра:

  [HKLM\System\CurrentControlSet\Services\Umont]

  Таким образом, созданная ранее служба удаляется.
• Проверяется соединение зараженного компьютера с Интернет. Для этого выполняется обращение к ресурсу:

  www.google.com

• В адресное пространство процесса "explorer.exe" внедряется исполняемый код, реализующий функционал загрузчика. Загрузка файлов осуществляется с сервера:

  www.490a-***70B0C.com

  Файлы сохраняются в каталоге хранения временных файлов текущего пользователя под случайными именами:

  %Temp%\<rnd>.exe

После успешной загрузки файлы запускаются на выполнение.

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо воспользоваться Антивирусом Касперского: произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).