Trojan-Dropper.Win32. Agent.vac
Trojan-Dropper.Win32. Agent.vac
Alexander Antipov
Троянская программа, которая устанавливает и запускает другое программное обеспечение на зараженном компьютере без ведома пользователя.
Троянская программа, которая устанавливает и запускает другое программное обеспечение на зараженном компьютере без ведома пользователя. Является приложением Windows (PE-EXE файл). Имеет размер 31232 байта. Написана на С++.
name="doc3">
Деструктивная активность
После запуска троянец открывает на запись драйвер устройства с именной ссылкой "Prot3". Затем извлекает из своего тела вредоносный драйвер, который сохраняет под таким именем:
%System%\drivers\<rnd1rnd2>.sysгде rnd1 – случайные 3 буквы латинского алфавита, rnd2 – случайные 2 цифры, например " Mbp81" или "Leg30". Данный файл имеет размер 30848 байта и детектируется Антивирусом Касперского как Trojan.Win32.Agent.wou.
Затем для запуска вредоносного драйвера троянец создает службу с таким же именем, что и у вредоносного драйвера. Добавляет в системный реестр следующие значения:
[HKLM\System\CurrentControlSet\Control\SafeBoot\Minimal\
<имя_драйвера>.sys]
(Default) = "Driver"
[HKLM\System\CurrentControlSet\Control\SafeBoot\Network\
<имя_драйвера>.sys]
(Default) = "Driver"
[HKLM\System\CurrentControlSet\Enum\Root\LEGACY_
<ИМЯ_ДРАЙВЕРА>\0000\Control]
*NewlyCreated* = 0x00000000
ActiveService = "<имя_драйвера>"
[HKLM\System\CurrentControlSet\Enum\Root\LEGACY_<ИМЯ_ДРАЙВЕРА>\0000]
Service = "<имя_драйвера>"
Legacy = 0x00000001
ConfigFlags = 0x00000000
Class = "LegacyDriver"
ClassGUID = "{8ECC055D-047F-11D1-A537-0000F8753ED1}"
DeviceDesc = "<имя_драйвера>"
[HKLM\System\CurrentControlSet\Enum\Root\LEGACY_<ИМЯ_ДРАЙВЕРА>]
NextInstance = 0x00000001
[HKLM\System\CurrentControlSet\Services\<имя_драйвера>\Enum]
0 = "Root\LEGACY_<ИМЯ_ДРАЙВЕРА>\0000"
Count = 0x00000001
NextInstance = 0x00000001
[HKLM\System\CurrentControlSet\Services\<имя_драйвера>\Security]
Security = 01 00 14 80 90 00 00 00 9C 00 00 00 14 00 00 00 30 00 00 00 02 00
1C 00 01 00 00 00 02 80 14 00 FF 01 0F 00 01 01 00 00 00 00 00 01 00 00
00 00 02 00 60 00 04 00 00 00 00 00 14 00 FD 01 02 00 01 01 00 00 00 00 00
05 12 00 00 00 00 00 18 00 FF 01 0F 0
[HKLM\System\CurrentControlSet\Services\<имя_драйвера>]
Type = 0x00000001
Start = 0x00000000
ErrorControl = 0x00000000
ImagePath = "%System%\Drivers\<имя_драйвера>.sys"
Group = "SCSI Class"
Драйвер принадлежит к группе " SCSI Class ". После этого, троянец, используя командную строку, удаляет свой оригинальный файл и затем завершает выполнение своего процесса. В своем теле троянец содержит строку:
<имя_драйвера>.sys]
(Default) = "Driver"
[HKLM\System\CurrentControlSet\Control\SafeBoot\Network\
<имя_драйвера>.sys]
(Default) = "Driver"
[HKLM\System\CurrentControlSet\Enum\Root\LEGACY_
<ИМЯ_ДРАЙВЕРА>\0000\Control]
*NewlyCreated* = 0x00000000
ActiveService = "<имя_драйвера>"
[HKLM\System\CurrentControlSet\Enum\Root\LEGACY_<ИМЯ_ДРАЙВЕРА>\0000]
Service = "<имя_драйвера>"
Legacy = 0x00000001
ConfigFlags = 0x00000000
Class = "LegacyDriver"
ClassGUID = "{8ECC055D-047F-11D1-A537-0000F8753ED1}"
DeviceDesc = "<имя_драйвера>"
[HKLM\System\CurrentControlSet\Enum\Root\LEGACY_<ИМЯ_ДРАЙВЕРА>]
NextInstance = 0x00000001
[HKLM\System\CurrentControlSet\Services\<имя_драйвера>\Enum]
0 = "Root\LEGACY_<ИМЯ_ДРАЙВЕРА>\0000"
Count = 0x00000001
NextInstance = 0x00000001
[HKLM\System\CurrentControlSet\Services\<имя_драйвера>\Security]
Security = 01 00 14 80 90 00 00 00 9C 00 00 00 14 00 00 00 30 00 00 00 02 00
1C 00 01 00 00 00 02 80 14 00 FF 01 0F 00 01 01 00 00 00 00 00 01 00 00
00 00 02 00 60 00 04 00 00 00 00 00 14 00 FD 01 02 00 01 01 00 00 00 00 00
05 12 00 00 00 00 00 18 00 FF 01 0F 0
[HKLM\System\CurrentControlSet\Services\<имя_драйвера>]
Type = 0x00000001
Start = 0x00000000
ErrorControl = 0x00000000
ImagePath = "%System%\Drivers\<имя_драйвера>.sys"
Group = "SCSI Class"
==============
¦....Caliban...
==============
Не ждите, пока хакеры вас взломают - подпишитесь на наш канал и станьте неприступной крепостью!