На главную страницу
 
 Главная 
 AVZ 
 APS 
 Статьи 
 Литература 
 Ссылки 
 Описания вирусов 
 Аппаратные системы 

AdWare/SpyWare
Backdoor
Hoax
Trojan
Trojan-Clicker
Trojan-Downloader
Trojan-Spy
Trojan-PSW
Net-Worm
Worm
Trojan-Dropper
Trojan-Proxy
Email-Worm
FraudTool
Trojan-Ransom

Поиск по сайту


Книга "Rootkits, SpyWare/AdWare, Keyloggers & BackDoors. Обнаружение и защита (+ CD-ROM)" Музыкальный проект антивирусных специалистов



Главная / Информационная безопасность / Описания вирусов / Trojan-Downloader

Trojan-Downloader.Win32.Small.doq


Rootkit:  Нет
Видимые проявления:  Процесс upnp.exe в памяти
Посторонний элемент в автозапуске, ссылающийся на upnp.exe

Размер исследованного образца – 15 кб, имя upnp.exe, не сжат и не зашифрован, написан на C. По имеющейся информации загружался и запускался в ходе деятельности эксплоита в WEB странице, ссылка на поражаенный сайт рассылалась по ICQ.
В случае запуска скрытно выполняет следующие операции:
1. Создает ключ реестра HKCU\Software\unker, записывает в него уникальный ID компьютера, который генерируется при помощи стандартной API функции CoCreateGuid
2. Активирует для своего процесса привилегию "SeDebugPrivilege"
3. Создает копию своего исполняемого файла под именем в windows\system32\upnp.exe. Корпирайты файла поддельные – судя по ним файл является компонентом upnp от Microsoft. После копирования исходный EXE файл не уничтожается. Имя файла и его копирайты являются простейшими мерами маскировки, никаких иных мер маскировки процесса в памяти или файла на диске не предпринимается.
4. После копирования файл регистрируется в автозапуске стандартным способом (ключ реестра HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\np) и запускается при помощи ShellExecute. В исполняемом файле есть простейшая защита от запуска двух копий процесса – мьютекс "NIonioionwfoinwefoinwneiofinweonfiniwefnbvurueb".
5. После запуска папки \system32\ остается в памяти, скрытно передает данные сайту protev-beloshlapnegov.com (URL статически задав в теле программы, в запросе содержится ID компьютера и версия трояна). Данная операция повторяется периодически примерно раз в полчаса. Содержит код для загрузки и запуска исполняемых файлов

Удаление вручную:
Для удаления данной вредоносной программы вручную достаточно удалить файл windows\system32\upnp.exe отложенным удалением AVZ и перезагрузиться.

Дополнительные данные:
Подобный зловред фигурировал в ряде "дел" по чистке скомпьютеров на virusinfo, в частности:
http://virusinfo.info/showthread.php?p=87356&highlight=upnp.exe#post87356 
http://virusinfo.info/showthread.php?t=7352&highlight=upnp.exe

Назад в раздел  





џндекс цитированиЯ
(С) Зайцев О.В.
2003-2016

При использовании любых материалов данного сайта необходимо указывать источник информации.