Исследование функционала трояна - Trojan.Matsnu.1


Trojan.Matsnu.1 - вредоносная программа, шифрующая файлы пользователя.

Троян написан на языке Ассемблер. Распространяется в виде заархивированных исполняемых файлов, вложенных в почтовые спам-сообщения с темой, в которой упоминается имя получателя. При открытии пользователем архива и запуске содержащегося в нем приложения, троян загружает в приостановленном состоянии svchost.exe и записывает в него собственный вирусный код. После чего все дальнейшие деструктивные действия, реализующие функционал Trojan.Matsnu.1, будут выполняться в контексте модуля svchost. Затем троян сохраняет свою копию с расширением .pre во временную папку Windows, запускает данную копию, а оригинальный файл удаляет.

После этого на основе серийного номера жесткого диска Trojan.Matsnu.1 генерирует уникальный идентификационный номер инфицированной машины (PCID). Этот номер используется в качестве ключа шифрования при общении с командным сервером.

Выполнив предварительные этапы установки и инициализации, троян демонстрирует на экране сообщение об ошибке приложения Acrobat Reader:

  • "Error: Could not write value Folders to key"


одновременно с этим копия основного модуля сохраняется в папку

  • Windows\system32

с именем, включающим серийный номер жесткого диска инфицированного компьютера и набор случайных символов. Данный путь записывается в качестве значения параметра

  • Userinit

в ветви системного реестра

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\


Примечательно, что Trojan.Matsnu.1 не выполняет этот шаг на 64-разрядных системах.

Другая копия трояна помещается в папку

  • %AppData%\случайная строка\


путь к этому файлу записывается в ветвь системного реестра, отвечающую за автозагрузку приложений. Далее, путем многократного вызова утилиты reg.exe с различными аргументами, Trojan.Matsnu.1 отключает загрузку в безопасном режиме, блокирует возможность запуска утилит:

  • taskmanager.exe;
  • regedit.exe;
  • msconfig.exe.


Поскольку троян не хранит в своих ресурсах отвечающие за диалог с пользователем графические файлы, они загружаются с удаленного сервера в виде CAB-архива. Запросы к командному серверу отправляет копия Trojan.Matsnu.1, хранящаяся во временной папке Windows. Из загруженного вредоносной программой архива извлекаются файлы путем вызова стандартной утилиты extrac32.exe. При отсутствии возможности связаться с командным центром, попытки соединения будут повторяться с интервалом в 20 минут. В случае удачной загрузки и распаковки архива Trojan.Matsnu.1 сохраняет сведения о своем состоянии в конфигурационный файл, генерирует случайный ключ и отправляет его на сервер злоумышленников, после чего пытается зашифровать все файлы на дисках инфицированного компьютера. Сгенерированный трояном ключ не сохраняется на зараженной машине. Если на данном этапе трояну не удастся загрузить с удаленного узла архив с изображениями, после перезагрузки компьютера ему будет снова передано управление, и Trojan.Matsnu.1 сможет зашифровать файлы, если получит соответствующую директиву от командного центра. У зашифрованных файлов троян меняет имя по шаблону

  • locked-filename. <random>

где filename — оригинальное имя файла с расширением,
<random> — последовательность из четырех случайных символов.

При следующем запуске Windows выполняется копия Trojan.Matsnu.1, сохраненная в папке

  • %AppData%\случайная строка\

либо копия из папки

  • Windows\system32


На экране компьютера демонстрируется диалоговое окно, содержащее ранее извлеченные из архива изображения.

Kartinki iz arhiva TrojanMatsnu Kartinki iz arhiva TrojanMatsnu 2 Kartinki iz arhiva TrojanMatsnu 3 Kartinki iz arhiva TrojanMatsnu 4

В диалоговых окнах, демонстрируемых пользователю вредоносной программой Trojan.Matsnu.1, указывается на то, что система пользователя инфицирована трояном-кодировщиком, зашифровавшим все файлы на жестких дисках. Злоумышленники просят пользователя не выключать компьютер во избежание потери данных. Для расшифровки файлов вирусописатели предлагают жертве загрузить специальное "обновление", стоимость которого составляет 50 евро. Для оплаты следует воспользоваться одной из наиболее распространенных на территории Европы платежных систем.

Одновременно с демонстрацией данного сообщения троян ожидает поступления команд от удаленного управляющего центра. Среди принимаемых Trojan.Matsnu.1 директив можно отметить следующие:

  • убить систему (удалить все файлы на жестких дисках);
  • загрузить с сайта злоумышленников указанную программу и запустить ее;
  • загрузить и продемонстрировать другие изображения для диалогового окна;
  • сохранить на диск, присланный исполняемый файл и запустить его в виде фонового процесса;
  • расшифровать файлы (ключ присылается с сайта злоумышленников вместе с командой);
  • зашифровать файлы еще раз с использованием вновь сгенерированного ключа;
  • обновить список управляющих серверов;
  • обновить основной модуль трояна.


От действия Trojan.Matsnu.1 уже пострадало большое количество пользователей в странах Европы и Латинской Америки. Для расшифровки файлов компания "Доктор Веб" выпустила специальную утилиту.

Во избежание проникновения на компьютеры трояна Trojan.Matsnu.1, а также в целях минимизации последствий заражения необходимо:

  • Не открывать вложения в сообщениях электронной почты, полученных из неблагонадежных источников;
  • Создать резервные копии наиболее ценных файлов;
  • Если файлы оказались зашифрованы, не пытаться удалить что-либо с дисков компьютера или переустанавливать операционную систему;
  • Если демонстрируемое на экране компьютера изображение похоже на представленное в настоящей статье - попытаться самостоятельно расшифровать файлы с помощью предлагаемой компанией "Доктор Веб" бесплатной утилиты;
  • При отсутствии результатов - обратиться в антивирусную лабораторию компании "Доктор Веб", создав тикет в категории "Запрос на лечение".