Trojan-Downloader.Win32.Agent.doxj

Технические детали
Деструктивная активность
Рекомендации по удалению

Технические детали

Троянская программа, загружающая файлы из сети Интернет без ведома пользователя и запускающая их. Является приложением Windows (PE-EXE файл). Имеет размер 36867 байт. Написана на Visual Basic.

Деструктивная активность

После запуска троянец загружает из сети Интернет файлы по следующим ссылкам:

http://lea***pg.com.br/winlogne.jpg
http://lea***pg.com.br/hostplug.jpg

На момент создания описания первая ссылка не работала. По второй ссылке загружался файл размером 65536 байт; детектируется Антивирусом Касперского как "Trojan-Downloader.Win32.VB.xks".

Загруженные файлы сохраняются в системе соответственно под следующими именами:

%System%\winlogne.exe
%System%\hostplug.exe

После успешной загрузки файлы запускаются на выполнение. Далее троянец завершает свою работу.

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

1. Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
2. Удалить файлы:

   %System%\winlogne.exe
   %System%\hostplug.exe 
   

3. Очистить каталог Temporary Internet Files, который может содержать инфицированные файлы (Как удалить инфицированные файлы в папке Temporary Internet Files?).
4. Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).

Резюме

• Trojan-Dropper. Скрытно устанавливает в систему другие вредоносные программы

• Осуществляет сетевую активность

Технические детали

Имеет размер 36867 байт.

Инсталляция

Создает следующие файлы на зараженном компьютере:

• Системный каталог ОС Windows (обычно, C:\Windows\System32)%System%\msmsn.exe

Вредоносная активность

Создает следующие файлы:

• Системный каталог ОС Windows (обычно, C:\Windows\System32)%System%\hostplug.exe (­детектируется антивирусом Касперского как­ Trojan-Downloader.Win32.VB.xjs)
• Системный каталог ОС Windows (обычно, C:\Windows\System32)%System%\winhelpens.exe (­детектируется антивирусом Касперского как­ Trojan.Win32.VB.aeyx)
• Системный каталог ОС Windows (обычно, C:\Windows\System32)%System%\winlogne.exe (­детектируется антивирусом Касперского как­ Trojan-Banker.Win32.Agent.ath)
• Системный каталог ОС Windows (обычно, C:\Windows\System32)%System%\winupdate.exe (­детектируется антивирусом Касперского как­ Trojan-Banker.Win32.Banz.cas)

После чего обеспечивается Используя системный реестр, системные службы или специальные системные файлы, программа может обеспечивать свой запуск или запуск созданных ею файлов при каждой следующей загрузке ОС Windowsавтозагрузка установленных файлов:

путем прописывания в ключах автозапуска системного реестра:

[ Ветка системного реестра HKEY_LOCAL_MACHINEHKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run ] "hostplug" = " Системный каталог ОС Windows (обычно, C:\Windows\System32)%System%\hostplug.exe"

[ Ветка системного реестра HKEY_LOCAL_MACHINEHKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run ] "winhelpens" = " Системный каталог ОС Windows (обычно, C:\Windows\System32)%System%\winhelpens.exe"

[ Ветка системного реестра HKEY_LOCAL_MACHINEHKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run ] "winlogne" = " Системный каталог ОС Windows (обычно, C:\Windows\System32)%System%\winlogne.exe"

Следующие файлы запускаются на исполнение:

• Системный каталог ОС Windows (обычно, C:\Windows\System32)%System%\hostplug.exe
• Системный каталог ОС Windows (обычно, C:\Windows\System32)%System%\winhelpens.exe
• Системный каталог ОС Windows (обычно, C:\Windows\System32)%System%\winlogne.exe
• Системный каталог ОС Windows (обычно, C:\Windows\System32)%System%\winupdate.exe

Создает соединение со следующими адресами в Интернете:

• ***.133.224.138:20480
• ***.45.196.8:39173

Обращается к следующим адресам в Интернете:

• http://***omodulos.hpg.com.br/hostplug.jpg
• http://***omodulos.hpg.com.br/winhelpens.jpg
• http://***omodulos.hpg.com.br/winlogne.jpg
• http://***omodulos.hpg.com.br/msmsn.jpg
• http://***omodulos.hpg.com.br/winupdate.jpg

Для определения своего присутствия в системе создает уникальные идентификаторы "mutex"

• ZonesCounterMutex
• ZonesCacheCounterMutex
• ZonesLockedCacheCounterMutex
• RasPbFile

Пытается найти файлы на компьютере пользователя по следующим маскам:

• Program Files*.*
• *.*
• Downloaded Program Files*.*

Прочие действия

Производит запуск следующих файлов (команд):

• Системный каталог ОС Windows (обычно, C:\Windows\System32)%System%\reg.exe ADD Ветка системного реестра HKEY_LOCAL_MACHINEHKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v EnableLUA /t REG_DWORD /d 0 /f

Ищет следующие окна:

Класс:	Shell DocObject View
Класс:	TabWindowClass

Изменяет следующие ключи системного реестра:

[ Ветка системного реестра HKEY_LOCAL_MACHINEHKLM\SOFTWARE\Microsoft\MSSQLServer\Client\SuperSocketNetLib\LastConnect ] "187.45.196.8" = "-485949430:tcp:187.45.196.8,1433"