05.03.2007
Trojan-Proxy.Win32.Agent.lb
Троянская программа, размер 23-27 кб, исполняемый файл сжат UPX.
1. Создает на диске исполняемые файл WINDOWS\system32\msvcrt64.dll размером 18-20 кб. Копирайты у данной библиотеки для маскировки сделаны похожими на копирайты библиотек Microsoft (в частности, там указано, что это «Microsoft® C Runtime Library»). Библиотека сжата UPX. Данный файл маскируется на диске по руткит-технологии
2. Регистрирует msvcrt64.dll в автозапуске нестандартным способом – через ShellServiceObjectDelayLoad 3. Регистрирует класс {A995B915-ACEE-40C3-A4E1-7BBE4784829B}, исполняемый файл - msvcrt64.dll 4. Создает в ключе реестра HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ ряд параметров, имена которых начинаются с «PB» параметров (в частности, PBSCRIPTPATH, PBPROXYMODULEPATH, PBPRIMARYHOST, PBSECONDARYHOST1, PBSECONDARYHOST2, PBSECONDARYHOST3). Данные параметры маскируются руткитом
5. Выполняет внедрение файла msvcrt64.dll в системный процесс explorer.exe по методу троянских потоков
Троянская библиотека msvcrt64.dll детектируется антикейлоггером AVZ:
C:\WINDOWS\system32\msvcrt64.dll --> Подозрение на Keylogger или троянскую DLL
C:\WINDOWS\system32\msvcrt64.dll>>> Поведенческий анализ:
1. Реагирует на события: клавиатура, мышь, оконные события
C:\WINDOWS\system32\msvcrt64.dll>>> Нейросеть: файл с вероятностью 0.73% похож на типовой перехватчик событий клавиатуры/мыши
Для маскировки от обнаружения данная троянская программа применяет перехвата ряда функций в UserMode:
Функция kernel32.dll:FindFirstFileA (209) перехвачена, метод APICodeHijack.JmpTo[100062D6]
Функция kernel32.dll:FindFirstFileW (212) перехвачена, метод APICodeHijack.JmpTo[10006346]
Функция kernel32.dll:FindNextFileA (218) перехвачена, метод APICodeHijack.JmpTo[10006406]
Функция kernel32.dll:FindNextFileW (219) перехвачена, метод APICodeHijack.JmpTo[10006486]
Функция kernel32.dll:Module32First (602) перехвачена, метод APICodeHijack.JmpTo[10006D56]
Функция kernel32.dll:Module32FirstW (603) перехвачена, метод APICodeHijack.JmpTo[10006DB6]
Функция kernel32.dll:Module32Next (604) перехвачена, метод APICodeHijack.JmpTo[10006E76]
Функция kernel32.dll:Module32NextW (605) перехвачена, метод APICodeHijack.JmpTo[10006ED6]
Функция advapi32.dll:RegEnumValueA (475) перехвачена, метод APICodeHijack.JmpTo[10006566]
Функция advapi32.dll:RegEnumValueW (476) перехвачена, метод APICodeHijack.JmpTo[100068B6]
Как видно из набора перехваченных функций, производится маскировка файлов, модулей и параметров в реестре.
Удаление:
Для удаления данной вредоносной программы можно применить скрипт AVZ:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('%System32%\msvcrt64.dll');
// Импорт списка удаленных файлов в настройки Boot Cleaner
BC_ImportDeletedList;
// Чистка ссылок на удаленные файлы
ExecuteSysClean;
// Активация драйвера Boot Cleaner
BC_LogFile(GetAVZDirectory + 'boot_clr.log');
BC_Activate;
// Перезагрузка
RebootWindows(true);
end.
