Деструктивная активность

Троянец, используя объект "ScriptletTypeLib", создает файл, запускаемый при загрузке Windows:
%WinDir%\Start Menu\Programs\StartUp\winmem.hta

Данный файл содержит команду завершения работы Windows.

Другие названия

Trojan.JS.ExitW.b («Лаборатория Касперского») также известен как: JS/Wipe (McAfee), JS.HTADropper (Symantec), Troj/ObjectID-A (Sophos), JS/RunScript.dr.gen* (RAV), JS_EXITW.A.DR (Trend Micro), JSc/ExitW.B1 (H+BEDV), VBS/WSRunner.E (FRISK), VBS:Malware (ALWIL), JS.Trojan.ExitW.B (SOFTWIN), JScr.ExitW.B1 (ClamAV), JS/Trojan.ExitW.B (Panda), JS/ExitW.B (Eset)

Деструктивная активность

После запуска троянец 1000 раз записывает в текущий документ строку "‚±‚с‚Й‚ї‚н". Затем открывает в отдельном окне браузера файлы:
/adm/popup/roadmap.shtml?текущее_время
crasher.htm

Другие названия

Trojan.JS.Wincrash.d («Лаборатория Касперского») также известен как: JS/Crasher (McAfee), Trojan Horse (Symantec), Trojan.WinCrash (Doctor Web), Troj/Wincrash-D (Sophos), JS/Wincrash.D* (RAV), JS_CRASHER.A (Trend Micro), JSc/Wincrash.D (H+BEDV), JS/Crasher.A (FRISK), JS.Trojan.WinCrash.D (SOFTWIN), JScr.Wincrash.D (ClamAV), Trojan Horse (Panda), JS/Wincrash.B (Eset)

Деструктивная активность

При открытии вредоносной страницы троянец, используя ActiveXObject "Microsoft.XMLHTTP", скачивает с сайта http://.www****t2.com/files/ файл eied_s7_cust.cab и сохраняет его в файл C:\eied_s7.cab, который затем загружается в iFrame на этой же странице.

Деструктивная активность

Троянец содержит строку с кодами символов, которая после запуска файла записывается в отображаемую браузером страницу с помощью метода document.write. Таким образом, троянская программа запускает на исполнение свою закодированную часть, содержащую эксплоит Exploit.HTML.SecurityBreach.3. Данный эксплоит используется для удаления через объект Microsoft Scriptlet Library содержимого следующих файлов:
C:\Windows\system.ini
C:\Windows\win.ini
C:\Windows\rundll32.exe
C:\Windows\rundll.exe
C:\Windows\command.com
C:\command.com
C :\Windows\regedit.exe
C:\Windows\regsvr32.exe

Другие названия

Trojan.JS.Wipe («Лаборатория Касперского») также известен как: JS/Wipe (McAfee), Trojan.JS.Wipe (Symantec), JS.Wipe (Doctor Web), Junk/JSFox (Sophos), JS/Wipe.A* (RAV), JS_FUXORED.A (Trend Micro), JS/Fox (H+BEDV), JS/Fox.C (FRISK), VBS:Malware (ALWIL), JS.Nasty.A (SOFTWIN), JS.Fox (ClamAV), JS/Fox.A (Panda), JS/SecurityBreach (Eset)

Деструктивная активность

Является модификацией VirTool.MSWord.UMP. Функция данного макроса состоит в замусоривании исходного кода комментариями. Может использоваться в других макро-вирусах.

Другие названия

VirTool.MSWord.UMPE («Лаборатория Касперского») также известен как: VirTool.Macro.Word97.UMPE («Лаборатория Касперского»), W97M/Ump.Kit.c (McAfee), W97M.Ump (Doctor Web), WM97/Umpe (Sophos), W97M/UMP.B (RAV), W97M_UMP.C (Trend Micro), W97M/UMP.C (H+BEDV), W97M/UMP.C (FRISK), MW97:UMP (ALWIL), W97M/Ump (Grisoft), W97M.UMP.C (SOFTWIN), W97M/UMPE.B-Kit (Eset)

Деструктивная активность

Данная вредоносная программа вставляет Trash-код в исходный код другого макро-вируса. Может использоваться в других макросах.

Другие названия

VirTool.MSWord.UMP («Лаборатория Касперского») также известен как: VirTool.Macro.Word97.UMP («Лаборатория Касперского»), W97M/Ump.Kit.a (McAfee), W97M.Ump (Doctor Web), WM97/Ump Kit (Sophos), W97M/UMP.Kit (RAV), W97M_UMP (Trend Micro), W97M/UMP.A (H+BEDV), W97M/UMP.A (FRISK), MW97:UMP (ALWIL), W97M/Ump (Grisoft), W97M.Ump.A (SOFTWIN), W97M.UMP.A (ClamAV), W97M/UMP-Kit (Eset)

Первоначально данный троянец был распространен при помощи спам-рассылки.

Характеристики зараженных писем

Тема письма.

Выбирается произвольным образом из списка:
* A killer at 11, he's free at 21 and kill again!
* U.S. Secretary of State Condoleezza Rice has kicked
German Chancellor Angela Merkel
* British Muslims Genocide
* Naked teens attack home director
* 230 dead as storm batters Europe
* Re: Your text
* Radical Muslim drinking enemies's blood
* Chinese missile shot down Russian satellite
*
* Chinese missile shot down USA aircraft
* Chinese missile shot down USA satellite
* Russian missile shot down USA aircraft
* Russian missile shot down USA satellite
* Russian missile shot down Chinese aircraft
* Russian missile shot down Chinese satellite
* Saddam Hussein safe and sound!
* Saddam Hussein alive!
* Venezuelan leader: "Let's the War beginning"
* Fidel Castro dead.

Имя файла вложения.

Выбирается произвольным образом из списка:
* FullVideo.exe
* Full Story.exe
* Video.exe
* Read More.exe
* FullClip.exe
* GreetingPostcard.exe
* MoreHere.exe
* FlashPostcard.exe
* GreetingCard.exe
* ClickHere.exe
* ReadMore.exe
* FlashPostcard.exe
* FullNews.exe

Инсталляция

После запуска троянская программа создает следующие файлы в системном каталоге Windows:
* %System%\peers.ini
* %System%\wincom32.sys - детектируется Антивирусом Касперского
как Rootkit.Win32.Agent.dh, размер - 41 728 байт

Троянец регистрирует свои файлы в следующих ключах системного реестра:
[HKLM\System\CurrentControlSet\Services\wincom32]
[HKLM\System\CurrentControlSet\Enum\Root\LEGACY_WINCOM32]

Деструктивная активность

Троянец пытается загрузить из интернета другие файлы и запустить их на компьютере пользователя.

По содержащимся в теле троянца ссылкам злоумышленники могут разместить любые другие вредоносные программы.

При открытии специально обработанного DOC документа, Троян выполняет следующие действия:

1. Эксплуатирует эксплуатировать неизвестную ранее уязвимость в Microsoft Word, создавая следующие файлы:
C:\~.exe
C:\$
%Temp%\[VARIABLE NAME].exe
%Temp%\[VARIABLE NAME].doc - clean Word document
%System%\[RANDOM NAME].exe

2. Созданные файлы могут принадлежать различным типам злонамеренных программ

После запуска «звонилка» прописывается в следующих ключах реестра:
HKEY_CURRENT_USER\Software\Holistyc\Adult Movie Station MEMBERS AREA-356 "DownloadId" = 91, 78, B2, 05

И добавляет следующий файл на рабочий стол:

%Windir% \Desktop\Adult Movie Station MEMBERS AREA.url

Непосредственного вреда системе данная программа не наносит. Но в случае неаккуратного использования может привести к значительному финансовому ущербу для владельца телефонного номера, с которого идёт дозвон на платный ресурс.

Данная программа информирует пользователя о предстоящих действиях и имеет вполне корректную процедуру деинсталляции.

Troj/Peper-A создает несколько копий со скрытыми атрибутами, в системной папке Windows под случайными именами и добавляет запись в следующую ветку реестра: HKLM\Software\Microsoft\Windows\CurrentVersion\Run.

Troj/Peper-A также создает скрытый файл с зашифрованными данными в системной папке, который содержит информацию о копиях трояна на системе.

Troj/Peper-A также создает 2 копии, которые все время запущены на системе. Одна из них загружает файлы из интернета, а другая контролирует работу этого процесса. В случае если одна из копий будет завершена в диспетчере задач, другая задача автоматически запустит новую копию трояна.

Деструктивная активность

После запуска троянец добавляет следующую запись в системный реестр:
[HKLM\System\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\
StandardProfile\
AuthorizedApplications\List]
"<имя троянской программы>" = "<имя троянской программы>:*:Enabled:
<имя троянца без расширения>"

Троянец непрерывно ищет в системе окна с именами класса «AVP.AlertDialog», «AVP.AhAppChangedDialog», «AVP.AhLearnDialog» и имитирует в них нажатия на кнопки «Разрешить», «Allow», «Skip», «Создать правило», «Apply to all», «Remember this action». Закрывает окна с именем класса «AVP.Product_Notification».

Троянец непрерывно ищет в системе окна с заголовком, содержащим следующие строки: «Kaspersky Anti-Hacker — Создать правило для» или «Kaspersky Anti-Hacker — Create a rule for» и имитирует нажатия на кнопку «Разрешить однократно» или «Allow Once».

Также троянская программа имитирует нажатия на кнопку «OK» в окнах с заголовками:
Внимание: некоторые компоненты изменились
Warning: Components Have Changed
Скрытый процесс запрашивает сетевой доступ
Hidden Process Requests Network Access

Троянец собирает информацию о жестком диске, количестве свободного места на нем; об учетной записи текущего пользователя, сетевом имени компьютера, версии операционной системы, типе процессора; возможностях экрана, установленных на компьютере; программах, запущенных процессах и существующих в системе dialup-соединениях.

Троянец ищет файлы account.cfg и account.cfn в папках:
%Documents and Settings%\<имя текущего пользователя>\Application Data\BatMail
%Documents and Settings%\<имя текущего пользователя>\Application Data\The Bat!

А также в папках, на которые указывают параметры ключа реестра:
[HKCU\Software\RIT\The Bat!]
Working Directory
ProgramDir

Содержимое найденных файлов похищается.

Троянец получает из реестра путь к установленному Mirabilis ICQ, ищет в его папке файлы с расширением DAT и похищает их содержимое. Также получает значения следующих ключей реестра:
[HKCU\Software\Mirabilis\ICQ\NewOwners]
[HKLM\Software\Mirabilis\ICQ\NewOwners]

Троянская программа ищет файлы с расширением DAT и похищает их содержимое посредством считываения пути к установленой Miranda из раздела реестра:
[HKLM\Software\Miranda]
Install_Dir

Также троянец ищет параметр с именем RQ.exe и RAT.exe в параметрах ключа реестра:
[HKCU\Software\Microsoft\Windows\ShellNoRoam\MUICache]

И если находит, получает его значение и использует для поиска файла andrq.ini. Если нет, то получает значение ключа реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\RQ]
UninstallString

и использует его для поиска файла andrq.ini.

Троянец получает путь к папке с установленным Trillian из ключа реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\Trillian]

В реестре прочитывает содержимое файла users\global\profiles.ini, извлекая информацию о текущих профилях пользователя. Также читает имена пользователей и пароли из файла aim.ini.

Также троянец получает путь к папке с установленным Total Commander из следующих ключей реестра:

[HKCU\Software\Ghisler\Windows Commander]
[HKCU\Software\Ghisler\Total Commander]
[HKLM\Software\Ghisler\Windows Commander]
[HKLM\Software\Ghisler\Total Commander]
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Total Commander]
UninstallString
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Total Commander XP]
UninstallString
[HKCU\SOFTWARE\Microsoft\Windows\ShellNoRoam\MUICache]
Totalcmd.exe

В указанной папке, а также в папке %WinDir% ищет файл wcx_ftp.ini или ftp.ini, в котором находит параметры и получает их значения:
host
username
password
directory
method

Троянская программа получает путь к папке из следующего ключа реестра:
[HKCU\Software\RimArts\B2\Settings],

ищет в ней файл Mailbox.ini, в котором получает значения следующих параметров:
UserID
MailAddress
MailServer
PassWd

Троянец получает список записей адресной книги, а также пароли на учетные записи Microsoft Outlook из ключа реестра:
[HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows Messaging Subsystem\
Profiles\Outlook]

Троянец получает путь к установленным CuteFTP и CuteFTP Professional, ищет и похищает содержимое файлов:
sm.dat
tree.dat
smdata.dat

Троянец получает значения параметров из файла %WinDir%\edialer.ini:
LoginSaved
PasswordSaved

Троянская программа получает список ключей раздела

[HKCU\Software\Far\Plugins\FTP\Hosts]

В найденных ключах получает значения следующих параметров:
HostName
User
Password
Description

Троянец читает из реестра путь к установленному браузеру Opera и ищет файл \profile\wand.dat (с последующим похищением содержимого) в папке браузера, а также по указанному пути:
%Documents and Settings%\<имя пользователя>\Application Data\Opera

Получает из реестра путь к установленному браузеру Mozilla и похищает содержимое всех файлов в папке Profiles.

Троянец получает путь к программе QIP из ключа реестра
[HKCU\Software\Microsoft\Windows\ShellNoRoam]
"qip.exe"

и ищет в его папке в подпапке Users все имеющиеся папки после чего читает из файлов Config.ini, расположенных в этих папках, следующие значения:
Password
NPass

Троянец читает содержимое файла
%Documents and Settings%\<имя пользователя>\Application Data\Thunderbird\Profiles.ini

и извлекает из него пути к профилям, по которым далее ищет файлы signons.txt и prefs.js и получает их содержимое.

Получает значения всех подключей ключа реестра:
[HKCU\Software\Mail.Ru\Agent\mra_logins]

Троянец читает из файла
%Documents and Settings%\<имя пользователя>\Application Data\Qualcomm\Eudora\Eudora.ini

следующие параметры:
RealName
ReturnAddress
PopServer
LoginName
SavePasswordText

Читает путь к папке с установленным Punto Switcher из ключа реестра:
[HKCU\Software\Punto Switcher]

и читает содержимое файла "diary.dat".

Читает значения файла
%Documents and Settings%\<имя пользователя>\Application Data\.gaim\accounts.xml

Троянец похищает содержимое файлов, которые находятся в профилях Firefox. Также похищает содержимое файла FileZilla.xml, получая путь к папке с установленным FileZilla из ключа реестра:
[HKCU\Software\FileZilla]
Install_Dir

Получает из реестра путь к папке с FlashFXP и похищает содержимое файла Sites.dat.

Троянец похищает содержимое файлов:

%WinDir%\VD3User.dat
%WinDir%\Vd3main.dat,

а также таких файлов, как:
%Documents and Settings%\<имя пользователя>\Application Data\SmartFTP\Client 2.0\
Favorites\ Favorites.dat
%Documents and Settings%\<имя пользователя>\Application Data\SmartFTP\Favorites.dat
%Documents and Settings%\<имя пользователя>\Application Data\SmartFTP\History.dat

[HKCU\Software\CoffeeCup Software\Internet\Profiles]

Из подключей ключа данного реестра похищаются следующие значения:
HostName
Port
Username
Password
ItemName

Троянская программа читает значение параметра в ключе реестра
[HKCU\Software\Microsoft\Windows\ShellNoRoam]
USDownloader.exe

и использует его для поиска следующих файлов, содержимое которых похищает:
USDownloader.lst
Depositfilesl.txt
Megauploadl.txt
Rapidsharel.txt

Аналогично троянец поступает со значением параметра в ключе реестра
[HKCU\Software\Microsoft\Windows\ShellNoRoam]
rapget.exe,

используя его для поиска файлов:
rapget.ini
links.dat

Также похищается содержимое файлов с расширением .rdp, находящихся в папке:
%Documents and Settings%\<имя пользователя>\Мои документы

Отчет со всей собранной информацией троянская программа отправляет на электронную почту злоумышленника spartak***@mail.ru.

Червь является приложением Windows (PE EXE-файл), имеет размер 101083 байт. Упакован при помощи Upack. Размер в распакованном виде — около 376 КБ. Инсталляция

При запуске червь копирует свой исполняемый файл в папку Windows с именем tpup.exe и запускает его с ключом “s”:
%WinDir%\tpup.exe

Извлекает из своего тела файл e1.dll (размер 6144 байт):
%System%\e1.dll

Для автоматической загрузки своих компонент при последующих стартах Windows червь создает параметры в ключах автозагрузки системного реестра:
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
tpup=%WinDir%\tpup.exe s

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
AppInit_DLLs=<имя случайной системной библиотеки> e1.dll

Распространение через email

Поиск адресов для отправки зараженных писем производится в адресных книгах Outlook, а так же в файлах на жестком диске пользователя.

Найденные адреса электронной почты сохраняются в файле:
%WinDir%\tpup.wax

Деструктивная активность

По всем найденным адресам электронной почты червь рассылает письма, содержащие во вложении троянский загрузчик, который скачивает из интернета основной исполняемый файл червя:

Тема письма выбирается из списка:
* Error
* Good Day
* hello
* Mail Delivery System
* Mail server report
* Mail Transaction Failed
* picture
* Server Report
* Status
* test

Текст письма выбирается из списка:
* Mail transaction failed. Partial message is available.
* The message cannot be represented in 7-bit ASCII encoding and has been sent
as a binary attachment.
* The message contains Unicode characters and has been sent as a binary attachment.
* Mail server report.

Our firewall determined the e-mails containing worm copies are being sent from
your computer.

Nowadays it happens from many computers, because this is a new virus type
(Network Worms).

Using the new bug in the Windows, these viruses infect the computer unnoticeably.
After the penetrating into the computer the virus harvests all the e-mail
addresses and sends the copies of itself to these e-mail addresses

Please install updates for worm elimination and your computer restoring.

Best regards,
Customers support service

Имя файла вложения содержит следующие строки в своем имени:
* body
* data
* doc
* docs
* document
* file
* message
* readme
* test
* text
* Update-KB<случайные цифры>-x86

И расширения zip или doc.exe или txt.exe, перед которыми следует длинная последовательность пробелов.

В процессе работы создает файлы:
%WinDir%\tpup.dat
%WinDir%\tpup.s

Компонент червя:
%System%\e1.dll

Внедряется в случайно выбранные процессы в системе и служит для отключения антивирусной защиты компьютера. Данный компонент пытается завершить процессы антивирусов и персональных брандмауэров и остановить их службы.

Также червь загружает список ссылок на файлы в интернете с различных сайтов злоумышленника, после чего скачивает файлы по этим ссылкам и сохраняет их во временную папку Windows с временными именами и запускает их.

Инсталляция

При запуске троянец копирует свой исполняемый файл в системную папку Windows:
%System%\winmgmt32.exe

Для автоматического запуска при следующем старте системы добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"winmgmt32.exe"="%System%\winmgmt32.exe"

Деструктивная активность

Троянец завершает работу следующих процессов:
accwiz32.exe
ahui32.exe
ahui32.exe
ashserven.exe
avgshserven.exe
bluetooth.exe
cmd32.exe
directsnd.exe
dxdiag32.exe
dxd iags.exe
dxdrv.exe
iexplorer.com
iexplorer.exe
msn_explorer.exe
msnscr.exe
spolsv.exe
spolsv.scr
svghosts.exe
system32.exe
terraxp .exe
winlogon32.exe
winmgmt.exe
winplay.exe
wscntfy.exe
wupdmgr32.exe

Троянец следит за клавиатурным вводом пользователя в окнах, список заголовков которых хранится внутри тела троянца в зашифрованном виде. Отчеты, содержащие последовательности нажимаемых пользователем клавиш, троянец сохраняет в папку %System%\winmgmt32 с именами вида: dmY-HMS, где dmY — дата создания файла отчета, HMS — время создания файла отчета.

Также троянец периодически делает скриншоты окон (с расширением .jpg), находящихся под курсором мыши и сохраняет их в папку:
%System%\winmgmt32

Далее троянец загружает все файлы, находящиеся в папке "%System%\winmgmt32" на FTP сервер злоумышленника:

Bonege***.serveftp.com

Деструктивная активность

После запуска троянец копирует себя в файл в корневой каталог Windows:
%Windir%\Services32.exe

Затем регистрирует этот файл в ключе автозапуска системного реестра:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"System32"="%Windir%\Services32.exe NORMAL"

Т.е. при каждой следующей загрузке Windows автоматически запустит файл троянца.

Троянец загружает страницу http://popup.intelliadvertising.com/***.

На момент создания описания по данному адресу никаких страниц размещено не было.

Другие названия

Trojan-Clicker.Win32.IntelliAdvert («Лаборатория Касперского») также известен как: Trojan.Adclicker (Symantec), Troj/TC-B (Sophos), TrojanClicker:Win32/IntelliAdvert (RAV), TROJ_ADCLICKER.A (Trend Micro), TR/Click.IntelliAdv (H+BEDV), Clicker.IntelliAdvert (SOFTWIN), Trojan Horse (Panda), Win32/TrojanClicker.IntelliAdvert.A (Eset)