Trojan-Spy.Win32. Bugnraw.a
Вредоносная программа, предназначенная для несанкционированной пользователем загрузки и установки на компьютер-жертву других вредоносных программ, а также для кражи конфиденциальных данных пользователя.
Вредоносная программа, предназначенная для несанкционированной пользователем загрузки и установки на компьютер-жертву других вредоносных программ, а также для кражи конфиденциальных данных пользователя.
Инсталляция
При запуске программа копирует свой исполняемый файл в корневой каталог Windows:
%WinDir%\system32\<rnd>.exeА также извлекает из себя и создает следующие файлы:
%WinDir%\system32\<rnd>.src<rnd> – произвольная последовательность из символов латинского алфавита.
%WinDir%\system32\<rnd>.bmp
Для автоматического запуска при каждом следующем старте системы вредоносная программа добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:
"<rnd>" = "%WinDir%\system32\<rnd>.exe "
InstallationID"="c897a1ec-c72f-449a-9e19-646046128ace"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sr\Parameters]
"FirstRun" = 1
[HKCU\Control Panel\Colors]
"Background"="0 0 255"
[HKCU\Control Panel\Desktop]
"ConvertedWallpaper" = "WinDir%\system32\<rnd>.bmp"
"OriginalWallpaper" = "%WinDir%\system32\<rnd>.bmp"
"SCRNSAVE.EXE" = "%WinDir%\system32\<rnd>.src"
"Wallpaper" = "%WinDir%\system32\<rnd>.bmp"
"WallpaperStyle" = "0"
[HKCU\Software\Microsoft\Internet Explorer\Desktop\Components]
"GeneralFlags" = 4
[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"NoDispBackgroundPage" = 1
"NoDispScrSavPage" = 1
[HKCU\Software\Sysinternals\Bluescreen Screen Saver]
"EulaAccepted" = 1
name="doc3">
Деструктивная активность
Вредоносная программа проверяет наличие соединения с интернетом, обрашаясь к электронному адресу windowsupdate.microsoft.com, в случае успеха программа скачивает и запускает файл по ссылке
На момент составления описания ссылка была недоступна, но есть основания полагать, что ранее на ней распологалось нежелательное программное обеспечение(not-a-virus:FraudTool), которое сообщает пользователю о наличии на компьютере вредоносных программ(даже если их на компьютере нет) и предлагает перечислить финансовые средства на определенные счета для оплаты лечения компьютера от этих программ. Также программа устанавливает фоновым рисунком рабочего стола следующее изображение:
Программа отсылает отчет по своей работе на электронный адрес
http://www.winifixer.com/log2.phpПри этом указывая в отчете все успешно произведенные действия, а также следующую информацию о компьютере пользователя:
- Информацию об установленном на компьютере аппаратном обеспечении.
- Список запущенных процессов на момент запуска программы.
Цифровые следы - ваша слабость, и хакеры это знают.