Trojan.Win32.LipGame.a
Троянская программа. Является приложением Windows (PE EXE-файл). Написана на языке C++. Размер зараженного файла — 49152 байта.
Программе соответствует прозрачный значок, вследствие чего её трудно заметить в некоторых файловых менеджерах.
Инсталляция
Инсталляция троянца производится при запуске на выполнение файла с вредоносной программой и выполнении следующих условий:
* в командной строке присутствует параметр «-install»;
* программа установлена более 21 дня назад или не установлена вообще (определение даты последней установки производится по дате последней записи в файл %WinDir%\imsins_.bin, в который при каждой инсталляции производится запись 1 байта);
* в системе отсутствуют следующие объекты:
%Program Files%\190 Warner
%Program Files%\a2
%Program Files%\CoolspotD\ialer Control
%Program Files%\Popupkiller
%Program Files%\MicroSoft AntiSpyware
%System%\DRIVERS\vmx_svga.sys
%System%\DRIVERS\vpc-s3.sys
При инсталляции некоторые параметры троянец может получать из cookie со строкой «websitesign».
Программа получает по запросу к URL http://xdl.www2.******.com/kb2.php свои настройки в зашифрованном виде и сохраняет их в файле %WinDir%\KB842252.log. Также программа получает данные с этого же сайта и сохраняет их в файле %WinDir%\switchagreement.txt.
В случае наличия при инсталляции в командной строке параметра «-s» запущенный файл копируется в файл %System%\itunesff.exe и регистрируется в автозапуске системного реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "itunesff"="%System%\itunesff.exe"
Таким образом, данный файл будет автоматически запускаться при каждой загрузке ОС.
После этого устанавливается следующее значение ключа реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Telephony\Settings] "alternative"=1
Затем скопированный файл itunesff.exe запускается.
В случае наличия при установке в командной строке параметра «-d», программа копирует себя в файл %WinDir%\internt.exe, затем пытается создать несколько ярлыков к нему.
Троянская программа некорректно обрабатывает русскоязычные пути к файлам. Вследствие этого при запуске программы на русифицированных версиях ОС Windows ярлыки не создаются.
Если в командной строке при установке присутствовала подстрока «installbf», то после завершения установки удаляется оригинальный файл программы. В противном случае удаляются следующие файлы:
C:\explorer.cab C:\inst.hta C:\inst.exe
Цифровые следы - ваша слабость, и хакеры это знают.