AdWare.Win32.WhiteSmoke.a


Описание
Программа, которая загружает из сети Интернет и устанавливает различное программное обеспечение без ведома пользователя. Программа является приложением Windows (PE EXE-файл). Размер - 129288 байт. Программа упакована при помощи UPX. Распакованный размер – около 404 КБ. Написана на C++.


Деструктивная активность
После запуска троян проверяет наличие привилегий администратора у текущего пользователя и если они отсутствуют, то выдает сообщение:


Выполняет следующие действия:
При запуске отображается следующее окно:


Во время своей работы программа создает следующие уникальные идентификаторы:

  • {FF4E366C-EB6E-4387-968D-B97175E24D5A}
  • Global\WST2010_Feature_<rnd>
  • Global\WST2010_{58343C24-CB4B-4a57-9B4D-E3DD88463B62}
  • _INITIALIZE
Где <rnd> - произвольная числовая последовательность.

Создает ключи в системном реестре:
  • [HKCU\Environment]
    "WS_TARGET_DIR"="%Program Files%\\WhiteSmoke Translator"
  • [HKLM\Software\WhiteSmokeTranslator]
    "InstallOption"=dword:0000000e
    "DistID"=dword:0000138a

Во временном каталоге текущего пользователя создает каталог:
  • %Temp%\~nsu.tmp\

В который, программа помещает следующие файлы:
  • %Temp%\~nsu.tmp\wsget.exe - с размером в 61952 байта.
  • %Temp%\~nsu.tmp\boost.ico - с размером в 13942 байта.

Также троян создает файлы (где <user> - имя пользователя текущей учетной записи):

  • %Documents and Settings%\All Users\Start Menu\Programs\
    Startup\WhiteSmoke Translator.lnk
  • %Documents and Settings%\<user>\Desktop\WhiteSmoke
    (continue installation).lnk
  • %Documents and Settings%\<user>\Desktop\Improve Your PC.lnk - файл имеет размер 1102 байта.

Запуск этого файла приводит к открытию в браузере по умолчанию следующего URL адреса:
  • http://www.re***ster.com/L10n/geo-ws-597-di.php
На момент создания описания ссылка не работала.

Запускает на выполнение файл:
  • <>%Temp%\~nsu.tmp\wsget.exe
Которому в качестве параметра передает строку:
  • "%Program Files%\WhiteSmoke Translator"

Запущенный файл выполняет загрузку и запуск файлов со следующих URL адресов:
  • http://get.w***moke.com/TranslatorTools/whitesmoke-silent.exe - с размером 251200 байта.
  • http://get.w***moke.com/TranslatorTools/WhiteSmokeTranslator_rev1.exe - с размером 5076816 байт.

Файлы сохраняются под следующими именами соответственно:
  • %Temp%\~nsu.tmp\whitesmoke-silent.exe
  • %Temp%\~nsu.tmp\WhiteSmokeTranslator_rev1.exe


Методы борьбы
Для удаления вредоносной программы необходимо:
  1. Удалить оригинальный файл трояна (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
  2. Удалить файлы:
    • %Temp%\~nsu.tmp\wsget.exe
    • %Temp%\~nsu.tmp\boost.ico
    • %Documents and Settings%\All Users\Start Menu\Programs\
      Startup\WhiteSmoke Translator.lnk
    • %Documents and Settings%\<user>\Desktop\WhiteSmoke
      (continue installation).lnk
    • %Documents and Settings%\<user>\Desktop\Improve Your PC.lnk
    • %Temp%\~nsu.tmp\whitesmoke-silent.exe
    • %Temp%\~nsu.tmp\WhiteSmokeTranslator_rev1.exe

  3. Удалить ключи системного реестра:
    • [HKCU\Environment]
      "WS_TARGET_DIR"="%Program Files%\\WhiteSmoke Translator"
    • [HKLM\Software\WhiteSmokeTranslator]
      "InstallOption"=dword:0000000e
      "DistID"=dword:0000138a

  4. Произвести полную проверку компьютера лечащей утилитой Dr.Web CureIt! или Антивирусом Касперского с обновленными антивирусными базами.