На главную страницу
 
 Главная 
 AVZ 
 APS 
 Статьи 
 Литература 
 Ссылки 
 Описания вирусов 
 Аппаратные системы 

AdWare/SpyWare
Backdoor
Hoax
Trojan
Trojan-Clicker
Trojan-Downloader
Trojan-Spy
Trojan-PSW
Net-Worm
Worm
Trojan-Dropper
Trojan-Proxy
Email-Worm
FraudTool
Trojan-Ransom

Поиск по сайту


Книга "Rootkits, SpyWare/AdWare, Keyloggers & BackDoors. Обнаружение и защита (+ CD-ROM)" Музыкальный проект антивирусных специалистов



Главная / Информационная безопасность / Описания вирусов / Trojan-Proxy

Trojan-Proxy.Win32.Agent.lb


Rootkit:  Да
Видимые проявления:  Посторонняя библиотека msvcrt64.dll в автозагрузке
Перехват ряда функций в UserMode

Троянская программа, размер 23-27 кб, исполняемый файл сжат UPX.
1. Создает на диске исполняемые файл WINDOWS\system32\msvcrt64.dll размером 18-20 кб. Копирайты у данной библиотеки для маскировки сделаны похожими на копирайты библиотек Microsoft (в частности, там указано, что это «Microsoft® C Runtime Library»). Библиотека сжата UPX. Данный файл маскируется на диске по руткит-технологии
2. Регистрирует msvcrt64.dll в автозапуске нестандартным способом – через ShellServiceObjectDelayLoad 3. Регистрирует класс {A995B915-ACEE-40C3-A4E1-7BBE4784829B}, исполняемый файл - msvcrt64.dll 4. Создает в ключе реестра HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ ряд параметров, имена которых начинаются с «PB» параметров (в частности, PBSCRIPTPATH, PBPROXYMODULEPATH, PBPRIMARYHOST, PBSECONDARYHOST1, PBSECONDARYHOST2, PBSECONDARYHOST3). Данные параметры маскируются руткитом
5. Выполняет внедрение файла msvcrt64.dll в системный процесс explorer.exe по методу троянских потоков

Троянская библиотека msvcrt64.dll детектируется антикейлоггером AVZ:
C:\WINDOWS\system32\msvcrt64.dll --> Подозрение на Keylogger или троянскую DLL
C:\WINDOWS\system32\msvcrt64.dll>>> Поведенческий анализ:
1. Реагирует на события: клавиатура, мышь, оконные события
C:\WINDOWS\system32\msvcrt64.dll>>> Нейросеть: файл с вероятностью 0.73% похож на типовой перехватчик событий клавиатуры/мыши


Для маскировки от обнаружения данная троянская программа применяет перехвата ряда функций в UserMode:

Функция kernel32.dll:FindFirstFileA (209) перехвачена, метод APICodeHijack.JmpTo[100062D6]
Функция kernel32.dll:FindFirstFileW (212) перехвачена, метод APICodeHijack.JmpTo[10006346]
Функция kernel32.dll:FindNextFileA (218) перехвачена, метод APICodeHijack.JmpTo[10006406]
Функция kernel32.dll:FindNextFileW (219) перехвачена, метод APICodeHijack.JmpTo[10006486]
Функция kernel32.dll:Module32First (602) перехвачена, метод APICodeHijack.JmpTo[10006D56]
Функция kernel32.dll:Module32FirstW (603) перехвачена, метод APICodeHijack.JmpTo[10006DB6]
Функция kernel32.dll:Module32Next (604) перехвачена, метод APICodeHijack.JmpTo[10006E76]
Функция kernel32.dll:Module32NextW (605) перехвачена, метод APICodeHijack.JmpTo[10006ED6]
Функция advapi32.dll:RegEnumValueA (475) перехвачена, метод APICodeHijack.JmpTo[10006566]
Функция advapi32.dll:RegEnumValueW (476) перехвачена, метод APICodeHijack.JmpTo[100068B6]

Как видно из набора перехваченных функций, производится маскировка файлов, модулей и параметров в реестре.

Удаление:
Для удаления данной вредоносной программы можно применить скрипт AVZ:
begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 DeleteFile('%System32%\msvcrt64.dll');
 // Импорт списка удаленных файлов в настройки Boot Cleaner
 BC_ImportDeletedList;
 // Чистка ссылок на удаленные файлы
 ExecuteSysClean;
 // Активация драйвера Boot Cleaner
 BC_LogFile(GetAVZDirectory + 'boot_clr.log');
 BC_Activate;
 // Перезагрузка
 RebootWindows(true);
end.


 

Назад в раздел  





џндекс цитированиЯ
(С) Зайцев О.В.
2003-2016

При использовании любых материалов данного сайта необходимо указывать источник информации.