Trojan-Spy.Win32. Bugnraw.a

Вредоносная программа, предназначенная для несанкционированной пользователем загрузки и установки на компьютер-жертву других вредоносных программ, а также для кражи конфиденциальных данных пользователя.

Вредоносная программа, предназначенная для несанкционированной пользователем загрузки и установки на компьютер-жертву других вредоносных программ, а также для кражи конфиденциальных данных пользователя.

Инсталляция

При запуске программа копирует свой исполняемый файл в корневой каталог Windows:

%WinDir%\system32\<rnd>.exe
А также извлекает из себя и создает следующие файлы:
%WinDir%\system32\<rnd>.src
%WinDir%\system32\<rnd>.bmp
<rnd> – произвольная последовательность из символов латинского алфавита.

Для автоматического запуска при каждом следующем старте системы вредоносная программа добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"<rnd>" = "%WinDir%\system32\<rnd>.exe "
Также программа создает следующие ключи реестра:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Software Notifier]
InstallationID"="c897a1ec-c72f-449a-9e19-646046128ace"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sr\Parameters]
"FirstRun" = 1

[HKCU\Control Panel\Colors]
"Background"="0 0 255"

[HKCU\Control Panel\Desktop]
"ConvertedWallpaper" = "WinDir%\system32\<rnd>.bmp"
"OriginalWallpaper" = "%WinDir%\system32\<rnd>.bmp"
"SCRNSAVE.EXE" = "%WinDir%\system32\<rnd>.src"
"Wallpaper" = "%WinDir%\system32\<rnd>.bmp"
"WallpaperStyle" = "0"

[HKCU\Software\Microsoft\Internet Explorer\Desktop\Components]
"GeneralFlags" = 4

[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"NoDispBackgroundPage" = 1
"NoDispScrSavPage" = 1

[HKCU\Software\Sysinternals\Bluescreen Screen Saver]
"EulaAccepted" = 1

Деструктивная активность

Вредоносная программа проверяет наличие соединения с интернетом, обрашаясь к электронному адресу windowsupdate.microsoft.com, в случае успеха программа скачивает и запускает файл по ссылке

http://av-xp-2008.com/images/1263144754/132a071e5d1437b80c 401c6982d513a0/ c897a1ec-c72f-449a-9e19-646046128ace.gif

На момент составления описания ссылка была недоступна, но есть основания полагать, что ранее на ней распологалось нежелательное программное обеспечение(not-a-virus:FraudTool), которое сообщает пользователю о наличии на компьютере вредоносных программ(даже если их на компьютере нет) и предлагает перечислить финансовые средства на определенные счета для оплаты лечения компьютера от этих программ. Также программа устанавливает фоновым рисунком рабочего стола следующее изображение:

Программа отсылает отчет по своей работе на электронный адрес

http://www.winifixer.com/log2.php
При этом указывая в отчете все успешно произведенные действия, а также следующую информацию о компьютере пользователя:
  1. Информацию об установленном на компьютере аппаратном обеспечении.
  2. Список запущенных процессов на момент запуска программы.