Trojan-Downloader.Win32. VB.bnp

Троянская программа. Является приложением Windows (PE EXE-файл).

Троянская программа. Является приложением Windows (PE EXE-файл). Имеет размер 117248 байт. Упакована при помощи UPX. Распакованный размер — около 280 КБ. Написана на Visual Basic.

Инсталляция

После запуска троянец создает в системном каталоге Windows каталог с именем "DETER177" и копирует в него свое тело под именами "lsass.exe", "smss.exe" и "svсhоst.exe":

%System%\DETER177\lsass.exe
%System%\DETER177\smss.exe
%System%\DETER177\svсhоst.exe

После этого меняет атрибуты каталога и созданных файлов на "скрытые" и "системные".

Кроме того, копирует свое тело в системный каталог Windows под именами "ctfmon" и "АHTОMSYS19.exe":

%System%\ctfmon.exe
%System%\АHTОMSYS19.exe

Следует обратить внимание, что некоторые буквы в названиях этих файлов указаны в русской кодировке.

Для автоматического запуска при каждом следующем старте системы троянец добавляет ссылку на свой исполняемый файл в ключи системного реестра:

[HKLM\Software\Microsoft\CurrentVersion\Run]
"ctfmon" = "%System%\ctfmon.exe"
"lsass" = "%System%\DETER177\lsass.exe"
[HKLM\Software\Microsoft\CurrentVersion\Winlogon]
"Shell" = "Explorer.exe %System%\АHTОMSYS19.exe"

Для введения пользователя в заблуждение файл троянца имеет иконку обычного каталога Windows.

Деструктивная активность

Троянец отключает показ скрытых файлов для приложения Explorer.exe, устанавливая следующие параметры ключа системного реестра:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"Hidden" = "0"
"ShowSuperHidden" = "0"

Так же отключает показ расширений файлов для приложения Explorer.exe, устанавливая следующий параметр ключа системного реестра:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"HideFileExt" = "1"

Для предотвращения возможности восстановить эти параметры штатными средствами троянец отключает пункт меню "Свойства папки" для приложения Explorer.exe, устанавливая следующий параметр ключа системного реестра:

[HKLM\Software\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoFolderOptions" = "1"

После чего троянец создает в системном каталоге Windows скрытый файл "рsаdоr18.dll":

%System%\рsаdоr18.dll

В этот файл троянец помещает следующие адреса электронной почты:

ot01_***@mail.ru
ot02_***@mail.ru

Также троянец извлекает из своего тела руткит "рsagоr18.sys". Данный файл помещается в рабочий каталог троянца. В данном рутките содержатся функции для скрытия файлов "рsаdоr18.dll" и "АHTОMSYS19.exe", а так же предоставление троянцу наивысшего приоритета в системе, что делает невозможным удаление троянских файлов и завершение троянских процессов.

При завершении работы системы данный файл удаляется, после чего создается снова при перезагрузке.

Во время работы троянец отслеживает появление в системе окон со следующими заголовками:

NOD32 2.5 Control Center
Сканер NOD32 по требованию - [Профиль центра управления - Локально]
Сканер NOD32 по требованию - [Профиль контекстного меню]
NOD32 - Предупреждение
Пpeдупpeждeниe Редактор конфиг
урации NOD32 - [Untitled]
Антивирус Касперского Personal
0- выполняется проверка...
Карантин
Настройка обновления
Настройка карантина и резервного хранилища
Выберите файл для отправки на исследование
AVP.MessageDialog
AVP.MainWindow
AVP.Product_Notification
AVP.SettingsWindow
AVP.ReportWindow
Agnitum Outpost Firewall - configuration.cfg
Настройка системы
Редактор реестра
RegEdit_RegEdit

В случае обнаружения такие окна будут закрываться автоматически.

Также троянец отслеживает появление в системе флеш-устройств. В случае обнаружения троянец копирует туда свое тело под именем "CDburn.exe" и создает файл "autorun.inf" со ссылкой на свое тело. Таким образом, файл троянца будет автоматически запущен при каждом следующем подключении данного устройства.

Также троянец собирает на зараженном компьютере адреса электронной почты и рассылает на них письмо без темы следующего содержания:

Я незнаю ее там помоему небыло(((... вот, посмотри http://softclub.land.ru/seeing/katie.rar