Trojan.Win32.LipGame.a

Троянская программа. Является приложением Windows (PE EXE-файл). Написана на языке C++. Размер зараженного файла — 49152 байта.

Троянская программа. Является приложением Windows (PE EXE-файл). Написана на языке C++. Размер зараженного файла — 49152 байта.

Программе соответствует прозрачный значок, вследствие чего её трудно заметить в некоторых файловых менеджерах.

Инсталляция

Инсталляция троянца производится при запуске на выполнение файла с вредоносной программой и выполнении следующих условий:

* в командной строке присутствует параметр «-install»;

* программа установлена более 21 дня назад или не установлена вообще (определение даты последней установки производится по дате последней записи в файл %WinDir%\imsins_.bin, в который при каждой инсталляции производится запись 1 байта);

* в системе отсутствуют следующие объекты:

 
       %Program Files%\190 Warner
       %Program Files%\a2
       %Program Files%\CoolspotD\ialer Control
       %Program Files%\Popupkiller
       %Program Files%\MicroSoft AntiSpyware
       %System%\DRIVERS\vmx_svga.sys
       %System%\DRIVERS\vpc-s3.sys
 

При инсталляции некоторые параметры троянец может получать из cookie со строкой «websitesign».

Программа получает по запросу к URL http://xdl.www2.******.com/kb2.php свои настройки в зашифрованном виде и сохраняет их в файле %WinDir%\KB842252.log. Также программа получает данные с этого же сайта и сохраняет их в файле %WinDir%\switchagreement.txt.

В случае наличия при инсталляции в командной строке параметра «-s» запущенный файл копируется в файл %System%\itunesff.exe и регистрируется в автозапуске системного реестра:

 
 [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
  "itunesff"="%System%\itunesff.exe"
 

Таким образом, данный файл будет автоматически запускаться при каждой загрузке ОС.

После этого устанавливается следующее значение ключа реестра:

 [HKLM\Software\Microsoft\Windows\CurrentVersion\Telephony\Settings]
  "alternative"=1
 

Затем скопированный файл itunesff.exe запускается.

В случае наличия при установке в командной строке параметра «-d», программа копирует себя в файл %WinDir%\internt.exe, затем пытается создать несколько ярлыков к нему.

Троянская программа некорректно обрабатывает русскоязычные пути к файлам. Вследствие этого при запуске программы на русифицированных версиях ОС Windows ярлыки не создаются.

Если в командной строке при установке присутствовала подстрока «installbf», то после завершения установки удаляется оригинальный файл программы. В противном случае удаляются следующие файлы:

 
 C:\explorer.cab
 C:\inst.hta
 C:\inst.exe
Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.