07.01.2007
Trojan-Downloader.Win32.Small.doq
Размер исследованного образца – 15 кб, имя upnp.exe, не сжат и не зашифрован, написан на C. По имеющейся информации загружался и запускался в ходе деятельности эксплоита в WEB странице, ссылка на поражаенный сайт рассылалась по ICQ.
В случае запуска скрытно выполняет следующие операции:
1. Создает ключ реестра HKCU\Software\unker, записывает в него уникальный ID компьютера, который генерируется при помощи стандартной API функции CoCreateGuid
2. Активирует для своего процесса привилегию "SeDebugPrivilege"
3. Создает копию своего исполняемого файла под именем в windows\system32\upnp.exe. Корпирайты файла поддельные – судя по ним файл является компонентом upnp от Microsoft. После копирования исходный EXE файл не уничтожается. Имя файла и его копирайты являются простейшими мерами маскировки, никаких иных мер маскировки процесса в памяти или файла на диске не предпринимается.
4. После копирования файл регистрируется в автозапуске стандартным способом (ключ реестра HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\np) и запускается при помощи ShellExecute. В исполняемом файле есть простейшая защита от запуска двух копий процесса – мьютекс "NIonioionwfoinwefoinwneiofinweonfiniwefnbvurueb".
5. После запуска папки \system32\ остается в памяти, скрытно передает данные сайту protev-beloshlapnegov.com (URL статически задав в теле программы, в запросе содержится ID компьютера и версия трояна). Данная операция повторяется периодически примерно раз в полчаса. Содержит код для загрузки и запуска исполняемых файлов
Удаление вручную:
Для удаления данной вредоносной программы вручную достаточно удалить файл windows\system32\upnp.exe отложенным удалением AVZ и перезагрузиться.
Дополнительные данные:
Подобный зловред фигурировал в ряде "дел" по чистке скомпьютеров на virusinfo, в частности:
http://virusinfo.info/showthread.php?p=87356&highlight=upnp.exe#post87356
http://virusinfo.info/showthread.php?t=7352&highlight=upnp.exe