Trojan-Downloader.Win32.FraudLoad.fva

Технические детали

Троянская программа, загружающая файлы из сети Интернет без ведома пользователя и запускающая их. Является приложением Windows (PE-EXE файл). Имеет размер 24576 байт. Упакована неизвестным упаковщиком. Распакованный размер – около 59 КБ. Написана на C++.

Инсталляция

После запуска троянец проверяет наличие в системном реестре следующих ключей:

[HKCU\Software\AntivirusXP]
"Key"



[HKCU\Software\RealAV]
"Key"



[HKLM\Software\AntivirusXP]
"Key"



[HKCU\Software\AVR]
"KEY"



[HKLM\Software\AVR]
"KEY"

В противном случае, троянец выполняет следующие действия:

• удаляет файл:

  %System%\winupdate.exe

• Копирует свое тело в следующий файл:

  %System%\winupdate.exe

• Для автоматического запуска созданной копии при каждом следующем старте системы создает ключ системного реестра:

  [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
  "winupdate.exe" = "%System%\winupdate.exe"

• Запускает на выполнение созданную копию.

Деструктивная активность

После запуска троянец выполняет следующие действия:

• удаляет файл:

  %System%\critical_warning.html

• Извлекает из своего тела файл, который сохраняется в системе как

  %System%\critical_warning.html

  Файл имеет размер 831 байт, и представляет собой HTML-страницу следующего вида:
  
  
  
  
  
• Создает ключи системного реестра:
  [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System] "DisableTaskMgr" = "1"
  
  [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoSetActiveDesktop" = "1" "NoActiveDesktopChanges" = "1"
  
  [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop] "NoChangingWallpaper" = "1"
  
  [HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoSetActiveDesktop" = "1" "NoActiveDesktopChanges" = "1"
  
  [HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop] "NoChangingWallpaper" = "1"
  Это приводит к запрету запуска Диспетчера задач Windows, а также к изменению настроек Active Desktop.
• Устанавливает ранее извлеченный файл "%System%\critical_warning.html" в качестве фонового изображения Рабочего стола. Для этого изменяются следующие значения ключей системного реестра:
  [HKCU\Software\Microsoft\Internet Explorer\Desktop\General] "TileWallpaper" = "0" "WallpaperStyle" = "2" "Wallpaper" = "%System%\critical_warning.html" "WallpaperFileTime" = "00 98 50 FC 35 A4 C6 01" "WallpaperLocalFileTime" = "00 D0 9D 21 4F A4 C6 01"
  
  [HKCU\Control Panel\Desktop] "TileWallpaper" = "0" "WallpaperStyle" = "2"
• Загружает из сети Интернет файлы по следующим ссылкам:

  http://do***avr6.com/dfghfghgfj.dll
  http://do***avr6.com/cgi-bin/download.pl?code=

  Загруженные файлы сохраняются в системе как

  %System%\winhelper.dll

  (На момент создания описания загружался файл размером 22528 байт; детектируется Антивирусом Касперского как "Trojan-Ransom.Win32.Agent.jc")

  %System%\AVR09.exe

  (На момент создания описания загружался файл размером 1172480 байт; детектируется Антивирусом Касперского как "Trojan.Win32.FraudPack.acik")
• Запускает системную утилиту "regsvr32.exe" со следующими параметрами:

  /s %System%\winhelper.dll

  Это приводит к запуску исполняемого кода загруженной ранее библиотеки

  "%System%\winhelper.dll"

• Для идентификации своего присутствия в системе создает ключ системного реестра:
  [HKCU\Software] "8636065b-fef0-4255-b14f-54639f7900a4" = "8636065b-fef0-4255-b14f-54639f7900a4"
• Открывает в браузере, установленном по умолчанию, ссылку:

  http://adv***over-2009.com/buy/?code=

• В отдельном потоке в бесконечном цикле выгружает из системной памяти следующие процессы:

  AcroRd32.exe    
  rstrui.exe  
  CloneCD.exe 
  cmd.exe 
  digitaleditions.exe 
  freecell.exe    
  FullTiltPoker.exe   
  GOM.exe 
  hrtzzm.exe  
  Icq.exe 
  Illustrator.exe 
  miranda32.exe   
  moviemk.exe 
  mplay32.exe 
  mplayer2.exe    
  mshearts.exe    
  msimn.exe   
  msmsgs.exe  
  mspaint.exe 
  MSWorks.exe 
  Nero.exe    
  NeroExpressPortable.exe 
  nfs.exe 
  OIS.exe 
  OUTLOOK.exe 
  Photoshop.exe   
  pinball.exe 
  PokerStars.exe  
  POWERPNT.exe    
  realplay.exe    
  RecordingManager.exe    
  RegCloneCD.exe  
  regedit.exe 
  RwcRun.exe  
  RWipeRun.exe    
  shvlzm.exe  
  skypePM.exe 
  RealPlayer.exe  
  POWERPOI.exe    
  word.exe    
  EXCEL.exe   
  MsnMsgr.Exe 
  chrome.exe  
  GoogleEarth.exe 
  wupdmgr.exe 
  Skype.exe   
  sndvol32.exe    
  sol.exe 
  setup_wm.exe    
  spider.exe  
  taskmgr.exe 
  thebat.exe  
  msconfig.exe    
  uTorrent.exe    
  vmware.exe  
  winmine.exe 
  WinRAR.exe  
  WINWORD.exe 
  control.exe 
  notepad.exe 
  calc.exe    
  wmplayer.exe

• В отдельном потоке в бесконечном цикле через каждые 12 минут запускает загруженный ранее файл:

  %System%\AVR09.exe

• В отдельном потоке в бесконечном цикле через каждые 20 минут загружает из сети Интернет файлы по следующей ссылке:

  http://tes***wn.com/cgi-bin/get.pl?l=

  (На момент создания описания ссылка не работала) Загруженные файлы сохраняются в системе под случайными именами:

  %System%\<rnd>.exe

  где <rnd> – случайное десятичное число. После успешной загрузки файлы запускаются на выполнение.
  
  

  Рекомендации по удалению

  Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

  1. Удалить ключи системного реестра (как работать с реестром?):
     [HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "winupdate.exe" = "%System%\winupdate.exe"
     
     [HKCU\Software\Microsoft\Windows\CurrentVersion\
     Policies\System] "DisableTaskMgr" = "1"
     
     [HKCU\Software\Microsoft\Windows\CurrentVersion\
     Policies\Explorer] "NoSetActiveDesktop" = "1" "NoActiveDesktopChanges" = "1"
     
     [HKCU\Software\Microsoft\Windows\CurrentVersion\
     Policies\ActiveDesktop] "NoChangingWallpaper" = "1"
     
     [HKLM\Software\Microsoft\Windows\CurrentVersion\
     Policies\Explorer] "NoSetActiveDesktop" = "1" "NoActiveDesktopChanges" = "1"
     
     [HKLM\Software\Microsoft\Windows\CurrentVersion\
     Policies\ActiveDesktop] "NoChangingWallpaper" = "1"
     
     [HKCU\Software] "8636065b-fef0-4255-b14f-54639f7900a4" = "8636065b
     -fef0-4255-b14f-54639f7900a4"
  2. При помощи Диспетчера задач завершить следующие процессы:

     winupdate.exe
     AVR09.exe

  3. Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
  4. Восстановить исходные значения ключей системного реестра (как работать с реестром?):
     [HKCU\Software\Microsoft\Internet Explorer\Desktop\General] "TileWallpaper" = "0" "WallpaperStyle" = "2" "Wallpaper" = "%System%\critical_warning.html" "WallpaperFileTime" = "00 98 50 FC 35 A4 C6 01" "WallpaperLocalFileTime" = "00 D0 9D 21 4F A4 C6 01"
     
     [HKCU\Control Panel\Desktop] "TileWallpaper" = "0" "WallpaperStyle" = "2"
  5. Отменить регистрацию загруженной троянцем библиотеки "%System%\winhelper.dll". Для этого следует запустить системную утилиту "regsvr32.exe" со следующими параметрами:

     /u %System%\winhelper.dll

  6. Удалить файлы:

     %System%\winupdate.exe
     %System%\critical_warning.html
     %System%\winhelper.dll
     %System%\AVR09.exe 
     %System%\.exe

  7. Очистить каталог (Как удалить инфицированные файлы в папке Temporary Internet Files?):

     %Temporary Internet Files%

  8. Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).