Trojan.Win32.Agent.nccy

Троянская программа, выполняющая деструктивные действия на компьютере пользователя.

Технические детали

Троянская программа, выполняющая деструктивные действия на компьютере пользователя. Программа является приложением Windows (PE DLL-файл). Имеет размер 69632 байта. Написана на C++.


Деструктивная активность

После активации троянец выполняет обращение к серверу обновлений "Microsoft" по ссылке:

http://download.windowsupdate.com/
Результат обращения к серверу пытается сохранить в файл:
%Temp%\<rnd1>.tmp
где <rnd1> – произвольная последовательность из букв и цифр латинского алфавита.

Далее троянец выполняет чтение следующих ключей системного реестра Windows:

[HKLM\Software\Microsoft\Windows NT\CurrentVersion]  "ProductName"  "CSDVersion"  "InstallDate"    [HKLM\Software\Microsoft\Cryptography]  "MachineGuid"  
На основании которых формирует строку обращения к управляющему серверу. Данные отправляются с помощью POST метода по следующему URL адресу:
http://mega***en.com/class3/c.php
Обмен данными с сервером выполняется в зашифрованном виде, для чего использует криптографические механизмы Microsoft Windows.

В ответ сервер передает управляющие команды, а также некоторые параметры. Троянец может получать следующие команды:

Reboot;  DownloadAndExecuteEXE;  DAMPDLL;  Wipe;  Update;  SelfRemove;  CfgWrite.  
В результате выполнения команд троянец выполняет следующий вредоносный функционал:
  • Получая системные привилегии, выполняет принудительную перезагрузку компьютера.
  • Загружает файл по ссылке, которая поступает с сервера злоумышленника, и запускает его на выполнение. Загруженные файлы сохраняются во временном каталоге текущего пользователя с именем:
    %Temp%\<rnd2>.tmp
    где <rnd2> – произвольная последовательность из букв и цифр латинского алфавита.
  • Удаляет указанные злоумышленником файлы.
  • Загружает обновленную версию своего оригинального файла и запускает ее на выполнение. Например, для обновления своего файла, троянец получал с сервера следующие команды:
    cmd Update  Url http://meg***en.com/class3/u.php?f=rZ80fOiDsF60  Version 9.9.9.9  LoadImmidiatly true  
  • Приводит к неработоспособности системы, удаляя системные файлы:
    %System%\config\software.sav  %System%\config\system.sav  %System%\config\system  %System%\config\default  %System%\config\SAM  %System%\config\SECURITY  %System%\config\software  %System%\config\afw_db.conf  %System%\config\afw_hm.conf  %System%\config\AppEvent.Evt  %System%\config\SysEvent.Evt  %System%\config\fsdb.sdb  %System%\config\rules.rdb  %System%\config\Internet.evt  %System%\config\SecEvent.Evt  %System%\config\userdiff  
    Также записывает "мусорные" данные в главную загрузочную запись (MBR) жесткого диска.
  • Получать новые конфигурационные данные с сервера злоумышленника.

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

  1. Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
  2. Удалить файлы:
    %Temp%\<rnd1>.tmp 
    %Temp%\<rnd2>.tmp