Trojan.Win32.Oficla.w

Технические детали

Троянская программа, выполняющая деструктивные действия на компьютере пользователя. Является приложением Windows (PE-EXE файл). Имеет размер 46592 байта. Написана на C++.

Инсталляция

После запуска троянец извлекает из своего тела файл, который сохраняется в системе под следующим именем:

%System%\thxr.wgo

(19968 байт; детектируется Антивирусом Касперского как "Trojan.Win32.Oficla.w")

Для автоматического запуска исполняемого кода извлеченной библиотеки при каждом следующем старте системы создается ключ системного реестра:

 [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell" = "Explorer.exe rundll32.exe thxr.wgo nwfdtx"

Таким образом, каждый раз при старте системы (включая загрузку в "безопасном режиме") при помощи системной утилиты "rundll32.exe" из извлеченной библиотеки будет вызываться функция с именем "nwfdtx".

Затем троянец запускает экземпляр процесса "svchost.exe" и внедряет в его адресное пространство исполняемый код извлеченной библиотеки.

После этого троянец завершает свою работу, а его оригинальный файл самоуничтожается.

Деструктивная активность

Извлеченная на этапе инсталляции библиотека "%System%\thxr.wgo" реализует следующий функционал:

• устанавливается соединение с одним из хостов:

  rus***mds.ru
  lol***ldifsd.ru
  lj1***0.com
  z0***a1i0.com
  hul***ps.ru

  Установленное соединение используется для загрузки на зараженный компьютер других вредоносных программ. Загруженные файлы сохраняются в каталоге хранения временных файлов текущего пользователя под случайными именами:

  %Temp%\<rnd>.tmp

  где <rnd> – случайное шестнадцатеричное число.

  После успешной загрузки файлы запускаются на выполнение. На момент создания описания было загружено 2 файла размером 92672 байта; детектируются Антивирусом Касперского как "Trojan-Dropper.Win32.TDSS.ddf".

• Создаются ключи системного реестра:

   [HKCR\idid]
  "url1" = "68 74 74 70 3A 2F 2F 6C 65 65 69 74 70 6F 62 62"
  "url2" = "68 74 74 70 3A 2F 2F 6C 6F 6C 6F 6F 68 75 69 6C"
  "url3" = "68 74 74 70 3A 2F 2F 6E 65 6D 6F 68 75 69 6C 64"
  "url4" = "00 E7 07 00 40 E8 07 00 00 5A 91 7C 2C E7 07 00"

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

1. Восстановить стандартное значение ключа системного реестра (как работать с реестром?):

    [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
   "Shell" = "Explorer.exe"

2. Удалить ключи системного реестра (как работать с реестром?):

    [HKCR\idid]
   "url1" = "68 74 74 70 3A 2F 2F 6C 65 65 69 74 70 6F 62 62"
   "url2" = "68 74 74 70 3A 2F 2F 6C 6F 6C 6F 6F 68 75 69 6C"
   "url3" = "68 74 74 70 3A 2F 2F 6E 65 6D 6F 68 75 69 6C 64"
   "url4" = "00 E7 07 00 40 E8 07 00 00 5A 91 7C 2C E7 07 00"

3. Перезагрузить компьютер.
4. Удалить файл:

   %System%\thxr.wgo

5. Удалить загруженные троянцем файлы в каталоге хранения временных файлов текущего пользователя "%Temp%".
6. Очистить каталог Temporary Internet Files, который может содержать инфицированные файлы (Как удалить инфицированные файлы в папке Temporary Internet Files?).
7. Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).