Trojan.Win32.Inject.arjs

Технические детали

Троянская программа, выполняющая деструктивные действия на компьютере пользователя. Программа является приложением Windows (PE-EXE файл). Имеет размер 103936 байт. Упакована неизвестным упаковщиком. Написана на C++.

Инсталляция

При запуске троянец копирует свой исполняемый файл в системный каталог Windows под следующим именем:

%System%\<rnd>.exe

Для автоматического запуска при каждом следующем старте системы троянец добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:

Деструктивная активность

Троянец завершает свое выполнение при обнаружении в своем адресном пространстве библиотеки с именем:

sbiedll.dll

%System%\drivers\vmhgfs.sys

Троянец запускает свою копию и завершает работу.

Копия троянца выполняет следующие действия:

• проверяет наличие строки "С:\sand-box\" в пути к своему оригинальному файлу. Если строка найдена, то троянец завершает свою работу и удаляет свой исполняемый файл.
• проверяет наличие установленных антивирусов на зараженном компьютере путем поиска окон с именем класса "____AVP.Root" для Антивируса Касперского, проверки наличия файла с именем "%system%\drivers\avgtdix.sys" для AVG Anti-virus, ключа системного реестра "HKLM\Software\Avira\AntiVir PersonalEdition Classic\" для Avira AntiVir и именованного канала "\\\\.\\pipe\\acsipc_server" для Agnitum Outpost.
• пытается остановить или помешать работе найденных антивирусов.
• ищет системный процесс "services.exe" и внедряет в его адресное пространство код библиотеки, которая содержится в теле данной троянской программы и детектируется Антивирусом Касперского как Trojan-Spy.Win32.Shiz.cj.

После этого троянец завершает свою работу.

Вредоносная библиотека, внедренная в процесс "services.exe", выполняет следующие действия:

1. Создает поток, в котором в бесконечном цикле устанавливает функции-перехватчики на следующие API-функции:

   getaddrinfo
   gethostbyname
   inet_addr
   CryptEncrypt
   CreateFileW
   GetFileAttributesExW
   send
   WSASend
   RCN_R50Buffer
   GetWindowText
   

   Что позволяет вредоносу следить и анализировать сетевой трафик, шифруемые данные и создаваемые файлы.
2. Отправляет запрос на следующий ресурс:
   http://brandavion.com/knok.php?id=<имя пользователя>!
   <имя компьютера пользователя>!<метка тома и серийный
   номер>&ver=10&up=89811&os=<сведения об операционной системе>
   В ответ получает URL для загрузки файла, файл сохраняется во временном каталоге текущего пользователя Windows со случайным именем:

   %Temp%\<rnd>.tmp

   Где <rnd> - случайный набор цифр и латинских букв, например, "6D5".

   На момент создания описания ресурс был недоступен.

   Также троянец может получать команды для дальнейшей своей работы в виде параметра для ключа системного реестра:

   [HKLM\Software\Microsoft]

   Таким образом в зависимости от имени параметра ключа реестра вредонос может:
   • загружать по полученному от злоумышленник URL и запускать на исполнение файл, который сохраняется под следующим именем:

     С:\temp_file_bin

   • удалять файлы и каталоги
   • выполнять рекурсивное удаление всех файлов и каталогов на всех доступных логических дисках компьютера пользователя, после чего завершать процессы:

     smss.exe
     csrss.exe
     lsass.exe
     winlogon.exe
     

3. Внедряет вредоносный код в следующие процессы:

   iexplore.exe
   opera.exe
   java.exe
   javaw.exe
   explorer.exe
   isclient.exe
   intpro.exe
   mnp.exe
   loadmain.ex
   

   код устанавливает перехватчик API-функции "HttpSendRequest", выполняющий функционал кейлоггера. Собранные данные о посещенных сайтах и нажатых клавишах сохраняются в следующем файле:

   %ProgramFiles%\Common Files\keylog.txt

4. Проверяет наличие установленных антивирусов и пытается завершить или помешать их работе.
5. Добавляет запись в таблицу сетевых маршрутов (тем самым блокируя доступ к ресурсам), выполнив команды:

   route.exe -p add <IP адрес1> mask <маска подсети> <IP адрес2>

   Где <IP адрес2> - IP адрес компьютера пользователя;

   <IP адрес1> - IP адрес блокируемых вредоносом ресурсов. Вредонос блокировал доступ к следующим IP адресам:

   74.55.143.0 62.67.184.0 208.43.44.0 188.40.74.0 212.59.118.0 81.176.67.0 87.242.75.0 83.102.130.0 207.44.254.0 75.125.212.0 74.86.125.0 75.125.43.0 75.125.189.0 74.54.46.0 74.54.130.0 174.120.184.0 174.120.185.0 174.133.38.0 74.54.139.0 74.86.232.0 74.53.70.0 208.43.71.0 174.120.186.0 75.125.185.0 74.55.74.0 95.140.225.0 94.236.0.0 94.23.206.0 93.191.13.0 93.184.71.0 92.53.106.0 92.123.155.0 91.209.196.0 91.199.212.0 91.121.97.0 90.183.101.0 90.156.159.0 89.202.157.0 89.202.149.0 89.111.176.0 89.108.66.0 88.221.119.0 87.242.79.0 87.242.74.0 87.242.72.0 87.238.48.0 87.230.79.0 87.106.254.0 87.106.242.0 85.31.222.0 85.255.19.0 85.214.106.0 85.17.210.0 85.12.57.0 84.40.30.0 83.223.117.0 83.222.31.0 83.222.23.0 83.202.175.0 82.98.86.0 82.165.103.0 82.151.107.0 82.117.238.0 81.24.35.0 81.177.31.0 81.176.66.0 80.86.107.0 80.237.132.0 80.190.154.0 80.190.130.0 80.153.193.0 79.125.5.0 78.47.87.0 78.137.164.0 78.108.86.0 75.125.82.0 75.125.29.0 74.55.40.0 74.53.201.0 74.52.233.0 74.50.0.0 74.208.20.0 74.208.158.0 74.125.77.0 72.32.70.0 72.32.149.0 72.32.125.0 72.3.254.0 72.232.246.0 70.84.211.0 69.93.226.0 69.57.142.0 69.20.104.0 69.18.148.0 69.162.79.0 68.177.102.0 67.227.172.0 67.225.206.0 67.192.135.0 67.19.34.0 67.15.231.0 67.15.103.0 67.134.208.0

   66.77.70.0 66.249.17.0 66.223.50.0 65.55.240.0 65.55.184.0 65.175.38.0 64.78.182.0 64.66.190.0 64.41.151.0 64.41.142.0 64.246.4.0 64.202.189.0 64.13.134.0 64.128.133.0 63.85.36.0 62.75.216.0 62.75.163.0 62.213.110.0 62.189.194.0 62.146.66.0 62.146.210.0 62.14.249.0 38.113.1.0 217.174.103.0 217.170.21.0 217.16.16.0 217.106.234.0 216.99.133.0 216.55.183.0 216.49.94.0 216.49.88.0 216.246.90.0 216.239.122.0 216.12.145.0 216.10.192.0 213.31.172.0 213.220.100.0 213.198.89.0 213.171.218.0 213.133.34.0 212.8.79.0 212.72.62.0 212.67.88.0 212.47.219.0 209.87.209.0 209.62.68.0 209.62.112.0 209.51.167.0 209.216.46.0 209.160.22.0 209.157.69.0 209.124.55.0 208.79.250.0 207.66.0.0 207.46.232.0 207.46.20.0 207.46.18.0 207.44.154.0 206.204.52.0 205.227.136.0 205.178.145.0 204.14.90.0 203.160.188.0 199.203.243.0 198.6.49.0 195.70.37.0 195.64.225.0 195.55.72.0 195.210.42.0 195.2.240.0 195.146.235.0 195.137.160.0 194.33.180.0 194.206.126.0 194.112.106.0 194.109.142.0 194.0.200.0 193.71.68.0 193.69.114.0 193.66.251.0 193.24.237.0 193.193.194.0 193.17.85.0 193.110.109.0 193.1.193.0 193.0.6.0 192.150.94.0 188.93.8.0 18.85.2.0 166.70.98.0 165.160.15.0 162.40.10.0 155.35.248.0 150.70.93.0 149.101.225.0 141.202.248.0 139.91.222.0 128.130.60.0 128.130.56.0 128.111.48.0

6. Получает ресурсы и сохраненные пароли к ним, анализируя файлы настроек браузеров.
7. Ворует банковские реквизиты пользователей следующих систем онлайн банкинга:

   Inter-PRO Client
   РФК Клиент-Web
   FAKTURA.ru
   RAIFFEISEN
   WebMoney Keeper
   

8. Для обхода встроенного брандмауэра Windows XP (Windows Firewall) создает ключи системного реестра:
   [HKLM\System\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List]
   "%System%\services.exe" = "%System%\services.exe :*:Enabled:svchost"
   
   [HKLM\System\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
   "<rnd2>:TCP" = "<rnd2>:TCP:*:Enabled:services.exe"
   Где <rnd2> - случайное число.

Создает на зараженной системе SOCKS-прокси сервер на случайном TCP порте, с помощью которого отсылает злоумышленнику собранные данные:

http://******avion.com/socks.php

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

1. Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
2. Удалить копию троянской программы:

   %System%\.exe

3. Удалить файлы:

   С:\temp_file_bin
   %ProgramFiles%\Common Files\keylog.txt
   

4. Изменить значение ключа системного реестра на (как работать с реестром?):

   [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
   "Userinit"=" C:\Windows\system32\userinit.exe,"
   

5. Для очистки таблицы маршрутов от записей для всех шлюзов выполнить команду в командной строке:

   route.exe -f

6. Удалить ключи системного реестра (как работать с реестром?):
   [HKLM\System\CurrentControlSet\Services\SharedAccess\
   Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
   "%System%\services.exe" = "%System%\services.exe
   :*:Enabled:svchost"
   
   [HKLM\System\CurrentControlSet\Services\SharedAccess\
   Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
   ":TCP" = ":TCP:*:Enabled:services.exe"
7. Очистить каталог Temporary Internet Files:

   %Temporary Internet Files%

8. Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).

Резюме

• Trojan. Выполняет действия, характерные для вредоносных программ

• Выполняет потенциально-опасные действия

Технические детали

Имеет размер 103936 байт.

Инсталляция

После запуска создает свои копии под следующими именами:

• \\?\globalroot\systemroot\system32\C9sliMr.exe
• Каталог для хранения временных файлов ОС Windows (обычно, C:\Documents and Settings\<Имя_текущего_пользователя>\Local Settings\Temp)%Temp%\1.tmp

Вредоносная активность

Внедряет свой код в следующие процессы:

• services.exe

С целью защиты от сетевых экранов и антивирусов ищет окна сообщений:

Класс:

____AVP.Root

и путем нажатия на соответствующие кнопки разрешает программе запрашиваемое действие

Для определения своего присутствия в системе создает уникальные идентификаторы "mutex"

• WBEMPROVIDERSTATICMUTEX

Прочие действия

Изменяет следующие ключи системного реестра:

[ Ветка системного реестра HKEY_LOCAL_MACHINEHKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon ] "userinit" = " Системный каталог ОС Windows (обычно, C:\Windows\System32)%System%\userinit.exe,\?\globalroot\systemroot\system32\C9sliMr.exe,"

Описание:
­Определяет файл, который будет запущен при входе пользователя в систему­

Удаляет следующие файлы на зараженном компьютере:

• <­путь к исходной программе­><­файл исходной программы­>