Trojan.Win32. Regrun.geo

Троянская программа, предназначенная для удаленного управления злоумышленником пораженным компьютером. Является приложением Windows (PE EXE-файл). Имеет размер 258048 байт. Упакована ASPack. Распакованный размер – около 673 КБ. Написана на Delphi.

name="doc3">

Деструктивная активность

Троянская программа загружает файл по следующему URL:

http://fatalsoft.tamb.ru/action.act

и сохраняет его под именем action.act в текущую папку.

В этом файле содержится команда. Возможны 3 команды: Normal, Pause, Delete.

Normal

1. Добавляется ключ автозапуска системного реестра:

   [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
   
   "FSStarter" = "fsstarter.exe"

2. Загружает файлы по следующим URL:

   http://smart-ip.net/_res/userbar/blue-bar.gif
   
   http://www.ip-ping.ru/informer.gif
   

   Они содержат информацию об IP адресе пользователя.
3. Загружает файл по URL:

   http://fatalsoft.tamb.ru/fslinklist.lst

   в котором находятся ссылки вида:

   http://www.depositfiles.com/ru/files/

   Троян загружает их, затем выполняет.
4. Загружает файл по URL

   http://fatalsoft.tamb.ru/fsreflist.lst

   в котором находятся URL куда троян загружает файл fsreport.rep, содержащий blue-bar.gif и informer.gif.

Pause

Троян ожидает указанное количество миллисекунд, затем загружает файл action.act заново.

Delete

1. Удаляет файлы (из текущей папки):

   blue-bar.gif, 
   informer.gif, 
   fsreport.rep, 
   FSManager.exe, 
   fsstarter.exe, 
   fsversion.ver.

2. Удаляет ключ системного реестра:

   [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
   
   “FSStarter”.

3. Добавляет в ключ автозапуска системного реестра

   Software\Microsoft\Windows\CurrentVersion\RunOnce
   
   “Selfdel9” = command.com /C del
   
   “SelfdelNT” = cmd /C del

   После выполнения команды троянец пытается загрузить следующую команду.