Trojan.Win32.Inject.aohy

Технические детали
Деструктивная активность
Рекомендации по удалению

Технические детали

Троянская программа, выполняющая деструктивные действия на компьютере пользователя. Программа является приложением Windows (PE-EXE файл). Имеет размер 81920 байт. Упакована неизвестным упаковщиком. Распакованный размер — около 116 KБ. Написан на C++.

Инсталляция

Если вредонос был запущен не из системного каталога Windows - копирует свое тело в системный каталог Windows со случайным именем:

%System%\<rnd>.exe

Где <rnd> - произвольная последовательность из цифр и букв латинского алфавита, например, "fi2RppL" или "DuYPae0".

Для автоматического запуска при каждом следующем старте системы троянец добавляет ссылку на свой исполняемый файл в один из следующих ключей автозапуска системного реестра:

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"userinit" = "%System%\userinit.exe,%System%\<rnd>.exe,"

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"FileSystem"="%System%\<rnd>.exe"

Деструктивная активность

Троянец завершает свое выполнение при обнаружении в системе следующего файла:

%systemroot%\system32\drivers\vmscsi.sys

Если вышеуказанный файл не обнаружен, то троянец выполняет следующие деструктивные действия:

• Для отключения антивируса Касперского отправляет сообщение окну с классом:

  ____AVP.Root

• Проверяет наличие антивируса Avira, прочитав значение параметра следующего ключа реестра:

  [HKLM\Software\Avira\AntiVir PersonalEdition Classic]
  "Path" =""
  

  При обнаружении данного антивируса отключает его, используя функции одной из библиотек Avira - "avipc.dll".
• Для отключения CA Personal Firewall отправляет код завершения работы устройству драйвера антивируса:

  \\.\KmxAgent

• Определяет присутствие антивируса AVG, проверяя наличие файла:

  %systemroot%\system32\drivers\avgtdix.sys

  При обнаружении данного файла, троянец выполняет перезапись его содержимого и завершает процесс с именем:

  AVGTRAY.EXE

• Удаляет все точки восстановления системы.
• После выполнения инсталляции троянец перемещает свое оригинальное тело во временный каталог текущего пользователя под случайным именем:

  %Temp%\<rnd>.tmp

  Где <rnd> - произвольная последовательность из цифр и букв латинского алфавита. И выполняет отложенное удаление.
• Устанавливает системные перехватчики на следующие API-функции:

  CryptEncrypt
  CreateFileW
  GetFileAttributesExW
  send
  WSASend
  vb_pfx_import
  RCN_R50Buffer
  GetWindowTextA
  Getaddrinfo
  Gethostbyname
  inet_addr
  

  Это позволяет вредоносу следить и анализировать сетевой трафик, шифруемые данные и создаваемые файлы.
• Выполняет поиск процесса "services.exe" и внедряет в его адресное пространство свой вредоносный функционал. Внедренный вредоносный код выполняет следующий деструктивный функционал:
• Создает на зараженной системе SOCKS-прокси сервер на случайном TCP порте и отправляет информацию о созданном прокси на следующий адрес:

  http://an***com.com/socks.php?name=<имя пользователя!имя 
  компьютера пользователя!серийный номер тома>&port=<порт 
  SOCKS-прокси сервера>
  

• В отдельном потоке отправляет запрос на следующий ресурс: http://an***com.com/knok.php?id=<имя пользователя>!<имя компьютера пользователя>!<метка тома и серийный номер>&ver=3&up=<случайный набор цифр>&os=<сведения об операционной системе>

  Сервер возвращает файл конфигурации, используя который, троянец может выполнять деструктивные действия, предусмотренные злоумышленником. Файл сохраняется во временном каталоге текущего пользователя Windows:

  %Temp%\<rnd2>.tmp

  где <rnd2> - случайный набор цифр и латинских букв.

  Троянец анализирует файл конфигурации и сохраняет параметры в виде параметров ключа системного реестра:

  [HKLM\Software\Microsoft]
  "option_<десятичное_число>" = ""

  Троянец может выполнять следующие команды:

  !load

  загрузка и запуск на исполнение файла по полученному URL, файл сохраняется под именем "temp_file_bin.exe" в корневом каталоге диска C:

  !route

  изменение настроек таблицы маршрутизации;

  !inject

  данные для внедрения в код html-страниц при посещении различных Интернет ресурсов;

  !kill_os

  аварийное завершение и отказ в работе операционной системы путем перезаписи секторов диска:

  \\.\PhysicalDrive

  и завершения системных процессов:

  smss.exe
  csrss.exe
  lsass.exe
  winlogon.exe
  

  !new_cofig

  загрузка нового файла конфигурации.
• В потоке восстанавливает значение ключа автозапуска системного реестра:

  [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
  "userinit" = "%System%\userinit.exe,%System%\<rnd>.exe"
  

• В потоке внедряет свой код в адресное пространство процессов:

  iexplore.exe
  java.exe
  javaw.exe
  javaws.exe
  opera.exe
  explorer.exe
  isclient.exe
  intpro.exe
  

  код устанавливает перехватчики API-функций:

  HttpSendRequest
  WSARecv
  recv
  PeekMessage
  GetMessage
  GetClipboardData
  PR_Write
  

  Тем самым троянец реализует функционал снифера и кейлоггера. Собранные данные о посещенных сайтах и нажатых клавишах сохраняются в следующем файле:

  %ProgramFiles%\Common Files\keylog.txt

• Получает имена ресурсов и сохраненные пароли к ним, анализируя файлы настроек браузеров. Похищает конфиденциальную информацию пользователя из следующих приложений:

  Mozilla\Firefox

• Похищает банковские реквизиты пользователей следующих систем онлайн банкинга:

  Inter-PRO Client
  РФК Клиент-Web
  FAKTURA.ru
  RAIFFEISEN
  НandyBank
  ИНИСТ Банк-Клиент
  IBANK
  WebMoney
  BS-Client
  Агава InterBank
  

• Похищенную информацию троянец отправляет на сервер злоумышленника:

  http://a***com.com/gate.php

  На момент создания описания ссылка не работала.
• Добавляет запись в таблицу сетевых маршрутов (тем самым, блокируя доступ к ресурсам), выполнив команды:

  route.exe -p add <IP адрес1> mask <маска подсети> 
  <IP адрес2>
  

  Где <IP адрес2> - IP адрес компьютера пользователя; <IP адрес1> - IP адрес блокируемых вредоносом ресурсов. Вредонос блокировал доступ к следующим IP адресам:

  128.111.48.0
  128.130.56.0
  128.130.60.0
  139.91.222.0
  141.202.248.0
  149.101.225.0
  150.70.93.0
  155.35.248.0
  162.40.10.0
  165.160.15.0
  166.70.98.0
  18.85.2.0
  188.93.8.0
  192.150.94.0
  193.0.6.0
  193.1.193.0
  193.110.109.0
  193.17.85.0
  193.193.194.0
  193.24.237.0
  193.66.251.0
  193.69.114.0
  193.71.68.0
  194.0.200.0
  194.109.142.0
  194.112.106.0
  194.206.126.0
  194.33.180.0
  195.137.160.0
  195.146.235.0
  195.2.240.0
  195.210.42.0
  195.55.72.0
  195.64.225.0
  195.70.37.0
  198.6.49.0
  199.203.243.0
  203.160.188.0
  204.14.90.0
  205.178.145.0
  205.227.136.0
  206.204.52.0
  207.44.154.0
  207.46.18.0
  207.46.20.0
  207.46.232.0
  207.66.0.0
  208.79.250.0
  209.124.55.0
  209.157.69.0
  209.160.22.0
  209.216.46.0
  209.51.167.0
  209.62.112.0
  209.62.68.0
  209.87.209.0
  212.47.219.0
  212.67.88.0
  212.72.62.0
  212.8.79.0
  213.133.34.0
  213.171.218.0
  213.198.89.0
  213.220.100.0
  213.31.172.0
  216.10.192.0
  216.12.145.0
  216.239.122.0
  216.246.90.0
  216.49.88.0
  216.49.94.0
  216.55.183.0
  216.99.133.0
  217.106.234.0
  217.16.16.0
  217.170.21.0
  217.174.103.0
  38.113.1.0
  62.14.249.0
  62.146.210.0
  62.146.66.0
  62.189.194.0
  62.213.110.0
  62.75.163.0
  62.75.216.0
  63.85.36.0
  64.128.133.0
  64.13.134.0
  64.202.189.0
  64.246.4.0
  64.41.142.0
  64.41.151.0
  64.66.190.0
  64.78.182.0
  65.175.38.0
  65.55.184.0
  65.55.240.0
  66.223.50.0
  66.249.17.0
  66.77.70.0
  67.134.208.0
  67.15.103.0
  67.15.231.0
  67.19.34.0
  67.192.135.0
  67.225.206.0
  67.227.172.0
  68.177.102.0
  69.162.79.0
  69.18.148.0
  69.20.104.0
  69.57.142.0
  69.93.226.0
  70.84.211.0
  72.232.246.0
  72.3.254.0
  72.32.125.0
  72.32.149.0
  72.32.70.0
  74.125.77.0
  74.208.158.0
  74.208.20.0
  74.50.0.0
  74.52.233.0
  74.53.201.0
  74.55.40.0
  75.125.29.0
  75.125.82.0
  78.108.86.0
  78.137.164.0
  78.47.87.0
  79.125.5.0
  80.153.193.0
  80.190.130.0
  80.190.154.0
  80.237.132.0
  80.86.107.0
  81.176.66.0
  81.177.31.0
  81.24.35.0
  82.117.238.0
  82.151.107.0
  82.165.103.0
  82.98.86.0
  83.202.175.0
  83.222.23.0
  83.222.31.0
  83.223.117.0
  84.40.30.0
  85.12.57.0
  85.17.210.0
  85.214.106.0
  85.255.19.0
  85.31.222.0
  87.106.242.0
  87.106.254.0
  87.230.79.0
  87.238.48.0
  87.242.72.0
  87.242.74.0
  87.242.79.0
  88.221.119.0
  89.108.66.0
  89.111.176.0
  89.202.149.0
  89.202.157.0
  90.156.159.0
  90.183.101.0
  91.121.97.0
  91.199.212.0
  91.209.196.0
  92.123.155.0
  92.53.106.0
  93.184.71.0
  93.191.13.0
  94.23.206.0
  94.236.0.0
  95.140.225.0
  74.55.74.0
  75.125.185.0
  174.120.186.0
  208.43.71.0
  74.53.70.0
  74.86.232.0
  74.54.139.0
  174.133.38.0
  174.120.185.0
  174.120.184.0
  74.54.130.0
  74.54.46.0
  75.125.189.0
  75.125.43.0
  74.86.125.0
  75.125.212.0
  207.44.254.0
  83.102.130.0
  87.242.75.0
  81.176.67.0
  

• Создает запись в ключе системного реестра:

  [HKLM\System\CurrentControlSet\Services\SharedAccess\
  Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
  "<rnd3>:TCP" = "<rnd3>:TCP:*:Enabled:services.exe"
  

  Где <rnd3> - случайное число.

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

1. Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
2. Удалить файлы:

   С:\temp_file_bin.exe
   %ProgramFiles%\Common Files\keylog.txt
   

3. Очистить каталог временных файлов:

   %Temp%\

4. Изменить значение ключа системного реестра на:

   [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
   "Userinit"=" C:\Windows\system32\userinit.exe,"
   

5. Удалить параметры в ключах реестра (как работать с реестром?) :

   [HKLM\Software\Microsoft]
   "option_<десятичное_число>"
   
   [HKLM\System\CurrentControlSet\Services\SharedAccess\
   Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
   "<rnd3>:TCP" = "<rnd3>:TCP:*:Enabled:services.exe"
   
   [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
   "userinit" = "%System%\userinit.exe,%System%\<rnd>.exe,"
   
   [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   "FileSystem"="%System%\<rnd>.exe"
   

6. Для очистки таблицы маршрутов от записей для всех шлюзов выполнить команду в командной строке:

   route.exe –f

7. Поскольку вредонос выполняет похищение конфиденциальной информации пользователя, рекомендуется сменить пароли ко всем учетным записям пользователя.
8. Очистить каталог Temporary Internet Files, содержащий инфицированные файлы(Как удалить инфицированные файлы в папке Temporary Internet Files?):

   %Temporary Internet Files%

9. Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).

Резюме

• Trojan. Выполняет действия, характерные для вредоносных программ

• Выполняет потенциально-опасные действия

Технические детали

Имеет размер 81920 байт.

Инсталляция

После запуска создает свои копии под следующими именами:

• \\?\globalroot\systemroot\system32\WQSRk6t.exe
• Каталог для хранения временных файлов ОС Windows (обычно, C:\Documents and Settings\<Имя_текущего_пользователя>\Local Settings\Temp)%Temp%\1.tmp

Вредоносная активность

Внедряет свой код в следующие процессы:

• services.exe

С целью защиты от сетевых экранов и антивирусов ищет окна сообщений:

Класс:

____AVP.Root

и путем нажатия на соответствующие кнопки разрешает программе запрашиваемое действие

Для определения своего присутствия в системе создает уникальные идентификаторы "mutex"

• WBEMPROVIDERSTATICMUTEX

Прочие действия

Изменяет следующие ключи системного реестра:

[ Ветка системного реестра HKEY_LOCAL_MACHINEHKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon ] "userinit" = " Системный каталог ОС Windows (обычно, C:\Windows\System32)%System%\userinit.exe,\?\globalroot\systemroot\system32\WQSRk6t.exe,"

Описание:
­Определяет файл, который будет запущен при входе пользователя в систему­

Удаляет следующие файлы на зараженном компьютере:

• <­путь к исходной программе­><­файл исходной программы­>