Trojan.Win32. Regrun.geo

Троянская программа, предназначенная для удаленного управления злоумышленником пораженным компьютером.

Троянская программа, предназначенная для удаленного управления злоумышленником пораженным компьютером. Является приложением Windows (PE EXE-файл). Имеет размер 258048 байт. Упакована ASPack. Распакованный размер – около 673 КБ. Написана на Delphi.


Деструктивная активность

Троянская программа загружает файл по следующему URL:

http://fatalsoft.tamb.ru/action.act
и сохраняет его под именем action.act в текущую папку.

В этом файле содержится команда. Возможны 3 команды: Normal, Pause, Delete.

Normal

  1. Добавляется ключ автозапуска системного реестра:
    [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]

    "FSStarter" = "fsstarter.exe"
  2. Загружает файлы по следующим URL:
    http://smart-ip.net/_res/userbar/blue-bar.gif

    http://www.ip-ping.ru/informer.gif
    Они содержат информацию об IP адресе пользователя.
  3. Загружает файл по URL:
    http://fatalsoft.tamb.ru/fslinklist.lst
    в котором находятся ссылки вида:
    http://www.depositfiles.com/ru/files/
    Троян загружает их, затем выполняет.
  4. Загружает файл по URL
    http://fatalsoft.tamb.ru/fsreflist.lst
    в котором находятся URL куда троян загружает файл fsreport.rep, содержащий blue-bar.gif и informer.gif.

Pause

Троян ожидает указанное количество миллисекунд, затем загружает файл action.act заново.

Delete

  1. Удаляет файлы (из текущей папки):
    blue-bar.gif, 
    informer.gif,
    fsreport.rep,
    FSManager.exe,
    fsstarter.exe,
    fsversion.ver.
  2. Удаляет ключ системного реестра:
    [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]

    “FSStarter”.
  3. Добавляет в ключ автозапуска системного реестра
    Software\Microsoft\Windows\CurrentVersion\RunOnce

    “Selfdel9” = command.com /C del

    “SelfdelNT” = cmd /C del
    После выполнения команды троянец пытается загрузить следующую команду.