На главную страницу
 
 Главная 
 AVZ 
 APS 
 Статьи 
 Литература 
 Ссылки 
 Описания вирусов 
 Аппаратные системы 

AdWare/SpyWare
Backdoor
Hoax
Trojan
Trojan-Clicker
Trojan-Downloader
Trojan-Spy
Trojan-PSW
Net-Worm
Worm
Trojan-Dropper
Trojan-Proxy
Email-Worm
FraudTool
Trojan-Ransom

Поиск по сайту


Книга "Rootkits, SpyWare/AdWare, Keyloggers & BackDoors. Обнаружение и защита (+ CD-ROM)"



Главная / Информационная безопасность / Описания вирусов / Описания вирусов / Trojan-Downloader

Trojan-Downloader.Win32.Small.ddp


28.10.2006

Trojan-Downloader.Win32.Small.ddp

Троянская программа небольшого размера (20-27 кб), типовые имена - url.exe, tse.exe, ticads.exe, crack.exe, bsoft.exe. В хвост исполняемого файла данной троянской программы пристыкован PE файл. Шифровка троянской программы и пристыкованного файла не применяется.
Размер исследованного образца – 25600 байт, в случае запуска он скрытно выполняет следующие операции:
1. Создает на диске файл под именем WINDOWS\se_spoof.dll и сохраняет в него пристыкованный к нему файл. Библиотека является компонентом данной вредоносной программы
2. Регистрирует данную библиотеку путем запуска regsvr32.exe /s "C:\WINDOWS\se_spoof.dll". В результате в реестре регистрируется класс {07A78AEA-4A54-4967-9A60-4B68592D30C7} и BHO для Internet Explorer
3. Создает ключ реестра HKCU\Software\TrustIn\Search Results Spoofer\, в нем параметр File2Remove, содержащий ссылку на исполняемый файл
4. При запуске Internet Explorer троянский BHO se_spoof.dll считывает содержимое параметра File2Remove и уничтожает указанный там файл. Далее производится скрытное обращение к trustincash.com и загрузка конфигурационного XML файла spoofconfig.xml. После загрузки XML подвергается парсингу и результаты заносятся в ключ Software\TrustIn\Search Results Spoofer. В исследуемом образце настройки были рассчитаны на google.com, msn.com, yahoo.com. В настройках содержатся исходные тексты Java-скриптов, которые встраиваются в тело 

Пример скрипта для yahoo.com:
<script language="javascript" defer>
var alist = document.getElementsByTagName("a");
var cnt = 0;
for (var i=0; i<alist.length && cnt<feed.length; i++) {
if (alist[i].className=="yschttl") {
alist[i].href = feed[cnt++];
}
}
</script>
Как легко заметить, скрипт ищет ссылки в результатах запроса и подменяет их на ссылки из массива feed. Это основное проявление данной троянской программы, что в сущености делает невозможным нормальное использование указанных поисковиков.

Детектирование вручную:
1. Ссылки в результатах запроса ведет на посторонние ресурсы, пори этом анализ системы показывает наличие постороннего BHO

Удаление вручную:
1. Закрыть Internet Explorer
2. Удалить файл WINDOWS\se_spoof.dll отложенным удалением AVZ. При этом AVZ автоматически удалит зарегистрированный класс и BHO





Top.Mail.Ru

(С) Зайцев О.В.
2003-2022

При использовании любых материалов данного сайта необходимо указывать источник информации.