Форум VolSat - Показать сообщение отдельно - Кибербезопасность-обсуждение

Tuflya07 · 16.06.2010, 20:27

Trojan-Dropper.Win32. Agent.vac

14 июня, 2010

Троянская программа, которая устанавливает и запускает другое программное обеспечение на зараженном компьютере без ведома пользователя. Является приложением Windows (PE-EXE файл). Имеет размер 31232 байта. Написана на С++.

Деструктивная активность

После запуска троянец открывает на запись драйвер устройства с именной ссылкой "Prot3". Затем извлекает из своего тела вредоносный драйвер, который сохраняет под таким именем:
%System%\drivers\<rnd1rnd2>.sys
где rnd1 – случайные 3 буквы латинского алфавита, rnd2 – случайные 2 цифры, например " Mbp81" или "Leg30". Данный файл имеет размер 30848 байта и детектируется Антивирусом Касперского как Trojan.Win32.Agent.wou.

Затем для запуска вредоносного драйвера троянец создает службу с таким же именем, что и у вредоносного драйвера. Добавляет в системный реестр следующие значения:
[HKLM\System\CurrentControlSet\Control\SafeBoot\Min imal\
<имя_драйвера>.sys]
(Default) = "Driver"

[HKLM\System\CurrentControlSet\Control\SafeBoot\Net work\
<имя_драйвера>.sys]
(Default) = "Driver"

[HKLM\System\CurrentControlSet\Enum\Root\LEGACY_
<ИМЯ_ДРАЙВЕРА>\0000\Control]
*NewlyCreated* = 0x00000000
ActiveService = "<имя_драйвера>"

[HKLM\System\CurrentControlSet\Enum\Root\LEGACY_<ИМ Я_ДРАЙВЕРА>\0000]
Service = "<имя_драйвера>"
Legacy = 0x00000001
ConfigFlags = 0x00000000
Class = "LegacyDriver"
ClassGUID = "{8ECC055D-047F-11D1-A537-0000F8753ED1}"
DeviceDesc = "<имя_драйвера>"

[HKLM\System\CurrentControlSet\Enum\Root\LEGACY_<ИМ Я_ДРАЙВЕРА>]
NextInstance = 0x00000001
[HKLM\System\CurrentControlSet\Services\<имя_драйве ра>\Enum]
0 = "Root\LEGACY_<ИМЯ_ДРАЙВЕРА>\0000"
Count = 0x00000001
NextInstance = 0x00000001

[HKLM\System\CurrentControlSet\Services\<имя_драйве ра>\Security]
Security = 01 00 14 80 90 00 00 00 9C 00 00 00 14 00 00 00 30 00 00 00 02 00
1C 00 01 00 00 00 02 80 14 00 FF 01 0F 00 01 01 00 00 00 00 00 01 00 00
00 00 02 00 60 00 04 00 00 00 00 00 14 00 FD 01 02 00 01 01 00 00 00 00 00
05 12 00 00 00 00 00 18 00 FF 01 0F 0

[HKLM\System\CurrentControlSet\Services\<имя_драйве ра>]
Type = 0x00000001
Start = 0x00000000
ErrorControl = 0x00000000
ImagePath = "%System%\Drivers\<имя_драйвера>.sys"
Group = "SCSI Class"
Драйвер принадлежит к группе " SCSI Class ". После этого, троянец, используя командную строку, удаляет свой оригинальный файл и затем завершает выполнение своего процесса. В своем теле троянец содержит строку:
==============
¦....Caliban...
==============

16.06.2010, 20:27	#60
Tuflya07 Гуру Регистрация: 07.10.2007 Ресивер: Openbox X-800 Сообщений: 10,465 Сказал(а) спасибо: 2,818 Поблагодарили 5,637 раз(а) в 4,437 сообщениях Вес репутации: 48	Trojan-Dropper.Win32. Agent.vac 14 июня, 2010 Троянская программа, которая устанавливает и запускает другое программное обеспечение на зараженном компьютере без ведома пользователя. Является приложением Windows (PE-EXE файл). Имеет размер 31232 байта. Написана на С++. Деструктивная активность После запуска троянец открывает на запись драйвер устройства с именной ссылкой "Prot3". Затем извлекает из своего тела вредоносный драйвер, который сохраняет под таким именем: %System%\drivers\<rnd1rnd2>.sys где rnd1 – случайные 3 буквы латинского алфавита, rnd2 – случайные 2 цифры, например " Mbp81" или "Leg30". Данный файл имеет размер 30848 байта и детектируется Антивирусом Касперского как Trojan.Win32.Agent.wou. Затем для запуска вредоносного драйвера троянец создает службу с таким же именем, что и у вредоносного драйвера. Добавляет в системный реестр следующие значения: [HKLM\System\CurrentControlSet\Control\SafeBoot\Min imal\ <имя_драйвера>.sys] (Default) = "Driver" [HKLM\System\CurrentControlSet\Control\SafeBoot\Net work\ <имя_драйвера>.sys] (Default) = "Driver" [HKLM\System\CurrentControlSet\Enum\Root\LEGACY_ <ИМЯ_ДРАЙВЕРА>\0000\Control] NewlyCreated = 0x00000000 ActiveService = "<имя_драйвера>" [HKLM\System\CurrentControlSet\Enum\Root\LEGACY_<ИМ Я_ДРАЙВЕРА>\0000] Service = "<имя_драйвера>" Legacy = 0x00000001 ConfigFlags = 0x00000000 Class = "LegacyDriver" ClassGUID = "{8ECC055D-047F-11D1-A537-0000F8753ED1}" DeviceDesc = "<имя_драйвера>" [HKLM\System\CurrentControlSet\Enum\Root\LEGACY_<ИМ Я_ДРАЙВЕРА>] NextInstance = 0x00000001 [HKLM\System\CurrentControlSet\Services\<имя_драйве ра>\Enum] 0 = "Root\LEGACY_<ИМЯ_ДРАЙВЕРА>\0000" Count = 0x00000001 NextInstance = 0x00000001 [HKLM\System\CurrentControlSet\Services\<имя_драйве ра>\Security] Security = 01 00 14 80 90 00 00 00 9C 00 00 00 14 00 00 00 30 00 00 00 02 00 1C 00 01 00 00 00 02 80 14 00 FF 01 0F 00 01 01 00 00 00 00 00 01 00 00 00 00 02 00 60 00 04 00 00 00 00 00 14 00 FD 01 02 00 01 01 00 00 00 00 00 05 12 00 00 00 00 00 18 00 FF 01 0F 0 [HKLM\System\CurrentControlSet\Services\<имя_драйве ра>] Type = 0x00000001 Start = 0x00000000 ErrorControl = 0x00000000 ImagePath = "%System%\Drivers\<имя_драйвера>.sys" Group = "SCSI Class" Драйвер принадлежит к группе " SCSI Class ". После этого, троянец, используя командную строку, удаляет свой оригинальный файл и затем завершает выполнение своего процесса. В своем теле троянец содержит строку: ============== ¦....Caliban... ============== __________________