28.02.2007
Trojan.Win32.DNSChanger.ih
Троянская программа, исполняемый файл имеет размер 63455 байта, машинный код зашифрован. В случае запуска скрытно выполняет следующие операции:
1. Проверяет ключ реестра Control Panel\International\Geo, анализируя параметр Nation. Проверка применяется для определения локализации операционной системы, на русскоязычной XP данная вредоносная программа не работает.
2. Создает на диске файл WINDOWS\system32\kdeiy.exe
3. Создает в ключе реестра HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon параметр System = kdeiy.exe
4. Осуществляет построение списка процессов. В памяти системного процесса csrss.exe создает троянский поток
5. Запускает системный процесс WINDOWS\explorer.exe, внедряет в его память троянский код и запускает его методом подмены контекста
6. Завершает работу. Внедренный ранее в системные процессы троянский код уничтожает исполняемый файл трояна на исходном месте
Исполняемый файл system32\kdeiy.exe маскируется на диске по руткит-технологии, за счет перехвата ряда функций в UserMode. Пример протокола AVZ:
Функция ntdll.dll:NtCreateThread (140) перехвачена, метод APICodeHijack.JmpTo[01884D50]
Функция ntdll.dll:NtDeleteValueKey (153) перехвачена, метод APICodeHijack.JmpTo[01884F68]
Функция ntdll.dll:NtQueryDirectoryFile (234) перехвачена, метод APICodeHijack.JmpTo[01885085]
Функция ntdll.dll:NtSetValueKey (338) перехвачена, метод APICodeHijack.JmpTo[01884E6A]
Функция ntdll.dll:ZwCreateThread (950) перехвачена, метод APICodeHijack.JmpTo[01884D50]
Функция ntdll.dll:ZwDeleteValueKey (962) перехвачена, метод APICodeHijack.JmpTo[01884F68]
Функция ntdll.dll:ZwQueryDirectoryFile (1043) перехвачена, метод APICodeHijack.JmpTo[01885085]
Функция ntdll.dll:ZwSetValueKey (1147) перехвачена, метод APICodeHijack.JmpTo[01884E6A]
Ключ автозапуска Winlogon\System в реестре агрессивно защищается, попытка удаления ключа приводит к его немедленному пересозданию. Троянские функции данной программы сводятся к перенаправлению пользователя на посторонние WEB сайты. AVZ успешно нейтрализует перехваты, что позволяет обнаружить маскирующийся файл и удалить его отложенным удалением. Кроме того, для уничтожения данной вредоносной программы можно применить скрипт:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
// Удаление файла
DeleteFile('%system32%\kdeiy.exe');
// Импорт списка удаленных файлов в настройки Boot Cleaner
BC_ImportDeletedList;
// Чистка ссылок на удаленные файлы
ExecuteSysClean;
// Активация драйвера Boot Cleaner
BC_LogFile(GetAVZDirectory + 'boot_clr.log');
BC_Activate;
// Перезагрузка
RebootWindows(true);
end.