07.05.2007
Trojan.Win32.VB.atg
Троянская программа, написана на Basic, исполняемый файл известен под именем tel.xls.exe. Иконка файла визуально очень похожа на иконку документа Excel, что в сочетании двойным расширением «xls» должно вводить пользователя в заблуждение. Файл не сжат и не зашифрован, размер 45 кб.
В случае запуска скрытно выполняет следующие действия:
1. Создает файлы WINDOWS\system32\SocksA.exe, WINDOWS\system32\FileKan.exe, WINDOWS\svchost.exe, WINDOWS\Session.exe. Эти файлы содержат копию трояна. Кроме того, создается файл WINDOWS\BACKINF.TAB, по структуре являющийся файлом AUTORUN.INF с содержимым вида:
[AutoRun]
open=tel.xls.exe
shellexecute=tel.xls.exe
shell\Auto\command=tel.xls.exe
shell=Auto
2. Регистрирует SocksA.exe в автозапуске через ключ Run реестра
3. Запускает файл WINDOWS\svchost.exe
4. Вызывает проводник – командная строка имеет вид «explorer C:\» , после чего завершает работу
5. Троянский процесс svchost.exe выполняет в цикле операцию 1 из вышеописанного алгоритма и создает в корне диска файлы tel.xls.exe (атрибуты «скрытый», «системный») и AUTORUN.INF (атрибуты «скрытый» и «системный»). Файл AUTORUN.INF ссылается на tel.xls.exe и применяется для автозапуска трояна. Данная операция повторяется с задержкой примерно 5 секунд и применяется в качестве меры защиты от удаления. Кроме того, в трояне предусмотрена модификация параметра CheckedValue ключа реестра SOFTWARE\Microsoft\ Windows\CurrentVersion\Explorer\ Advanced\Folder\Hidden\SHOWALL. По умолчанию это значение имеет тип REG_DWORD и значение 1. Троян содержит программный код для работы с базой UFSYSTEM.
Для детектирования данного зловреда в эвристические проверки AVZ введен дополнительный анализа, в частности в протокол на пораженном ПК имеет вид:
>>> C:\WINDOWS\svchost.exe ЭПС: подозрение на Файл с подозрительным именем (высокая степень вероятности)
>>> C:\autorun.inf ЭПС: подозрение на скрытый автозапуск (высокая степень вероятности)