Russian

Вход

Поиск

Интернет находится в нормальном состоянии, крупных эпидемий и других серьезных инцидентов службой мониторинга «Лаборатории Касперского» не зафиксировано.

Уровень опасности: 1

Следите в

Главная→Описания→Trojan.Win32.Scar.cmdh

Trojan.Win32.Scar.cmdh

Время детектирования	01 июл 2010 17:08 MSK
Время выпуска обновления	02 июл 2010 00:23 MSK
Описание опубликовано	24 дек 2010 15:43 MSK

Экспертное описание Автоматическое описание

Это описание создано экспертами «Лаборатории Касперского» и содержит наиболее точную информацию о данном детектируемом объекте.

Технические детали
Деструктивная активность
Рекомендации по удалению

Технические детали

Троянская программа, устанавливающая другие программы на компьютере пользователя без его ведома. Является приложением Windows (PE-EXE файл). Имеет размер 26624 байта. Написана на C++.

Деструктивная активность

После запуска троянец извлекает из своего тела файл, который сохраняется в системе под следующим именем:

%Temp%\ntload.dll

(17920 байт; детектируется Антивирусом Касперского как "Trojan-Spy.Win32.Mailspy.d")

Далее троянец запускает системную утилиту "RUNDLL32.EXE" со следующими параметрами: r

undll32.exe %Temp%\ntload.dll,_IWMPEvents@0

Таким образом, из извлеченной библиотеки вызывается функция с именем "_IWMPEvents@0".

Для удаления своего оригинального файла после завершения его работы троянец запускает системный командный интерпретатор "CMD.EXE" с параметрами:

/c del <полный путь к оригинальному файлу троянца> >> NUL

После этого троянец завершает свою работу.

Извлеченная библиотека предназначена для перехвата исходящего Интернет-трафика с целью похищения паролей к учетным записям электронной почты следующих почтовых серверов:

aol
msn
gmail
yahoo.com
hotmail.com

Собранные данные отправляются в виде HTTP-запросов на сайт злоумышленника:

http://you***estinf.com/mail/s.php

После запуска исполняемого кода библиотеки, в системе создаются следующие ее копии:

%USERPROFILE%\ntl.dll
%USERPROFILE%\Start Menu\Programs\Startup\scand.dll

Для автоматического запуска исполняемого кода библиотеки создается ключ системного реестра:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"note" = "rundll32.exe"%USERPROFILE%\ntl.dll,_IWMPEvents@0""

Также создается ярлык:

%USERPROFILE%\Start Menu\Programs\Startup\scand.lnk

указывающий на объект:

%System%\rundll32.exe " %USERPROFILE%\Start 
Menu\Programs\Startup\scand.dll,_IWMPEvents@0"

Действия по обеспечению автозапуска троянца выполняются в отдельном потоке в бесконечном цикле каждые 5 минут.

Кроме того, удаляются все файлы в каталоге:

%USERPROFILE%\Cookies

Резюме

Trojan-Dropper. Скрытно устанавливает в систему другие вредоносные программы

Технические детали

Имеет размер 26624 байт.

Инсталляция

Создает следующие файлы на зараженном компьютере:

Каталог для хранения временных файлов ОС Windows (обычно, C:\Documents and Settings\<Имя_текущего_пользователя>\Local Settings\Temp)%Temp%\ntload.dll
Каталог текущего пользователя (обычно, C:\Documents and Settings\<Имя_текущего_пользователя>)%UserDir%\STARTM~1\Programs\Startup\scand.dll

Вредоносная активность

Создает следующие файлы:

Каталог текущего пользователя (обычно, C:\Documents and Settings\<Имя_текущего_пользователя>)%UserDir%\ntl.dll

После чего обеспечивается Используя системный реестр, системные службы или специальные системные файлы, программа может обеспечивать свой запуск или запуск созданных ею файлов при каждой следующей загрузке ОС Windowsавтозагрузка установленных файлов:

путем прописывания в ключах автозапуска системного реестра:

[ Ветка системного реестра HKEY_CURRENT_USERHKCU\Software\Microsoft\Windows\CurrentVersion\Run ] "note" = "rundll32.exe Каталог текущего пользователя (обычно, C:\Documents and Settings\<Имя_текущего_пользователя>)%UserDir%\ntl.dll,_IWMPEvents@0"

Пытается найти файлы на компьютере пользователя по следующим маскам:

*

Прочие действия

Изменяет следующие ключи системного реестра:

[ Ветка системного реестра HKEY_LOCAL_MACHINEHKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run ] "note" = ""

Описание:
Используется для автозапуска файлов при загрузке ОС Windows

Удаляет следующие файлы на зараженном компьютере:

<путь к исходной программе><файл исходной программы>
Каталог текущего пользователя (обычно, C:\Documents and Settings\<Имя_текущего_пользователя>)%UserDir%\Cookies\index.dat

Печать

Закладки

Вредоносные программы

Троянские программы

Trojan

Вредоносная программа, предназначенная для осуществления несанкционированных пользователем действий, влекущих уничтожение, блокирование, модификацию или копирование информации, нарушение работы компьютеров или компьютерных сетей, и при всём при этом не попадающая ни под одно из других троянских поведений.

К Trojan также относятся «многоцелевые» троянские программы, т.е. программы, способные совершать сразу несколько несанкционированных пользователем действий, присущих одновременно нескольким другим поведениям троянских программ, что не позволяет однозначно отнести их к тому или иному поведению.

Другие модификации

Trojan.Win32.Scar.cnsw

Trojan.Win32.Scar.cqil

Trojan.Win32.Scar.dffu

Trojan.Win32.Scar.dgje

Другие названия

Trojan.Win32.Scar.cmdh («Лаборатория Касперского») также известен как:

Trojan: Generic.dx!tcf (McAfee)
Mal/Generic-L (Sophos)
Trojan:Win32/Lodap!rts (MS(OneCare))
Trojan.Spambot.9573 (DrWeb)
Win32/Spy.Agent.NSP trojan (Nod32)
Trojan.Generic.4602488 (BitDef7)
Trojan.Scar.VID (VirusBuster)
Win32:Spyware-gen [Spy] (AVAST)
Trojan.Win32.Scar (Ikarus)
TR/Scar.cmdh (AVIRA)
Trojan.Gen (NAV)
W32/Malware.MZZG (Norman)
Trojan.Win32.Generic.521ACAEE (Rising)
Trojan.Win32.Scar.cmdh [AVP] (FSecure)
Cryp_Xin2 (TrendMicro)
Trojan.Win32.Generic!BT (Sunbelt)
Trojan.Scar.VID (VirusBusterBeta)

© ЗАО «Лаборатория Касперского», 1997-2012
Ведущий производитель систем защиты от вирусов, спама и хакерских атак
Зарегистрированные товарные знаки и знаки обслуживания являются собственностью их правообладателей

kaspersky.ru

securelist.com