Backdoor.Win32.Agent.rnq

Технические детали
Деструктивная активность
Рекомендации по удалению

Технические детали

Троянская программа, устанавливающая другие программы на компьютере пользователя без его ведома. Является приложением Windows (PE-EXE файл). Имеет размер 16661 байт. Упакована PE_Patch, UPack. Распакованный размер – около 127 КБ. Написана на C++.

Деструктивная активность

После запуска троянец выполняет следующие действия:

• удаляет файл:

  %System%\explore.exe

• Извлекает из своего тела файлы, которые сохраняются в системе под следующими именами:

  %System%\drivers\HBKernel32.sys

  (14640 байт; детектируется Антивирусом Касперского как "Trojan-GameThief.Win32.MultiFirst.aa")

  %System%\HBKDXY.dll

  (24576 байт; детектируется Антивирусом Касперского как "Trojan.Win32.SmallGame.a")

  %System%\System.exe

  (5632 байта; детектируется Антивирусом Касперского как "Backdoor.Win32.Agent.rnq")

  %Temp%\HBSelfDel.dll

  (3072 байта; детектируется Антивирусом Касперского как "Backdoor.Win32.Agent.rnq")
• Создает в системе службу с именем "HBKernel32", исполняемым файлом которой является извлеченный ранее файл "%System%\drivers\HBKernel32.sys".
• Запускает на выполнение файл "%System%\System.exe".
• Для автоматического запуска файла "System.exe" при каждом следующем старте системы создает ключ системного реестра:

  [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
  "HBService32" = "System.exe"
  

• Запускает системную утилиту "rundll32.exe" со следующими параметрами:

  %Temp%\HBSelfDel.dll,MagicDelete <полный путь к 
  оригинальному файлу троянца>

После этого троянец завершает свою работу.

Запуск процесса "System.exe" приводит к следующим последствиям:

• для контроля уникальности процесса в системе создается уникальный идентификатор с именем:

  HBInjectMutex

• В бесконечном цикле создаются ключи системного реестра:
  [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows] "AppInit_DLLs" = "HBKDXY.dll"
  
  [HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "HBService32" = "System.exe"
  Таким образом, библиотека "HBKDXY.dll" будет подгружаться в адресное пространство всех процессов, запускаемых в системе.
• Проверяется состояние службы "HBKernel32". Если служба остановлена, выполняется ее запуск.

Извлекаемая троянцем библиотека "HBSelfDel.dll" экспортирует функцию "MagicDelete", предназначенную для удаления файлов. В качестве аргумента функции передается полный путь к удаляемому файлу.

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

1. При помощи Диспетчера задач завершить процесс "System.exe".
2. Удалить ветвь системного реестра (как работать с реестром?):

   [HKLM\System\CurrentControlSet\Services\HBKernel32]

3. Перезагрузить компьютер.
4. Удалить ключи системного реестра (как работать с реестром?):

   [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
   "HBService32" = "System.exe"
   
   
   
   [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows]
   "AppInit_DLLs" = "HBKDXY.dll"
   

5. Удалить файлы:

   %System%\drivers\HBKernel32.sys 
   %System%\HBKDXY.dll 
   %System%\System.exe 
   %Temp%\HBSelfDel.dll 
   

6. Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).