Программа-шпион Trojan.Win32.Menti.hsdx


Описание
Trojan.Win32.Menti.hsdx - программа-шпион, предназначенная для похищения конфиденциальных данных пользователя. Является приложением Windows (PE-EXE файл). Размер - 180736 байт. Упакована при помощи UPX. Распакованный размер — около 258 КБ. Написана на C++.


Инсталляция
После активации троян копирует свое тело в следующий каталог:

  • %Documents and Settings%\%Current User%\Application Data\<rnd>\<rnd1>.exe


<rnd> – случайная последовательность букв латинского алфавита, например "Lefu"
<rnd1> - случайная последовательность букв латинского алфавита, например "meata".

При этом в созданной копии трояна модифицируются последнии 1024 байта и детектируется, как HEUR:Trojan.Win32.Generic.

Compilyator

Время и дата создания файла устанавливается случайным образом. Для автоматического запуска троян добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:

  • [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
    "<rnd2>" = "%Documents and Settings%\%Current User%\Application Data\<rnd>\<rnd1>.exe"


где <rnd2> - уникальный идентификатор, например "{749219A0-9E4E-15D8-8C5D-6D53482B8F83}".

После чего оригинальное тело трояна удаляется и запускается его созданная копия. Троян создает файл командного интерпретатора во временном каталоге текущего пользователя Windows под случайно сгенерированным именем, в который записывает код для удаления свое оригинального файла и самого файла командного интерпретатора:

  • %Temp%\tmp<rnd3>.bat


где <rnd3> - случайная цифробуквенная последовательность, например "999dbbeb".

Далее созданный файл запускается на выполнение.


Деструктивная активность
Троян внедряет вредоносный код в адресное пространство процесса:

  • explorer.exe


Данный код выполняет следующие действия:

  1. Внедряет свой вредоносный код во все пользовательские процессы;
  2. Запускает поток, который восстанавливает значения параметра ключа автозапуска:
    • [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
      "<rnd2>" = "%Documents and Settings%\%Current User%\Application Data\<rnd>\<rnd1>.exe"

  3. Для хранения своей служебной информации создает ключ реестра:
    • [HKCU\SOFRWARE\Microsoft\<rnd4>]
      "<rnd5>" = "hex:33,8f,a5,8e,69,eb,49,1a,d6,2a,ef,23,d9,be,c0,f1,33,8f,a5,8e,69,eb,\
      49,1a,d6,2a,ef,23,d9,be,c0,f1,81,6a,84,13,6a,54,c6,72,8e,f5,43,d2,17,99,8c,\
      3e,33,8f,a5,8e,69,eb,49,1a,d6,2a,ef,23,d9,be,c0,f1,33,8f,a5,8e,69,eb,49,1a,\
      d6,2a,ef,23,d9,be,c0,f1,33,8f,a5,8e,69,eb,49,1a,d6,2a,ef,23,d9,be,c0,f1,33,\
      8f,a5,8e,69,eb,49,1a,d6,2a,ef,23,d9,be,c0,f1,00,00,00,00"


    где <rnd4> - случайная последовательность букв латинского алфавита, например "Atqeo".
    где <rnd5> - случайная последовательность бук латинского алфавита, например "Ygto".


  4. Изменяет настройки зон безопасности Internet Explorer для отключения уведомлений и изменений доступа к данным при посещении веб-узлов:
    • [HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0]
      "1609" = "0"

    • [HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1]
      "1406" = "0"
      "1609" = "0"

    • [HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2]
      "1609" = "0"

    • [HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3]
      "1406" = "0"
      "1609 = 0"

    • [HKC\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\4]
      "1406" = "0"
      "1609" = "0"

  5. Создает ключ системного реестра:
    • [HKCU\Software\Microsoft\Internet Explorer\Privacy]
      "CleanCookies" = "0"

  6. Удаляет параметр следующего ключа реестра:
    • [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
      "internat.exe" = ""

  7. Соединяется в управляющим сервером для получения файла конфигурации:
    • http://oposumschoone.com

На момент создания описания сервер не работал.

На основании данных, полученных с управляющих серверов троян может выполнять следующие действия на зараженном компьютере:

  1. Обновлять свой оригинальный файл.
  2. Перехватывать весь исходящий трафик с целью похищения конфиденциальных данных пользователя, устанавливая системные перехватчики на следующие функции:
    • InternetCloseHandle
      InternetQueryDataAvailable
      InternetReadFile
      InternetReadFileExA
      InternetReadFileExW
      HttpSendRequestA
      HttpSendRequestW
      HttpSendRequestExA
      HttpSendRequestExW
      closesocket
      send
      WSASend

  3. Похищать сертификаты.
  4. Удалять и похищать cookies.
  5. Вести лог клавиатурного ввода.
  6. Блокировать посещение ресурсов, указанных в конфигурационном файле.
  7. Извлекать данные из буфера обмена.
  8. Предоставлять полный доступ к компьютеру пользователя.


Вся похищенная информация сохраняется в зашифрованном виде в следующий файл:

  • %Documents and Settings%\%Current User%\Application Data\<rnd>\<rnd6>.<rnd7>


<rnd>
– случайная последовательность букв латинского алфавита, например "Iqof".
<rnd6> - случайная последовательность букв латинского алфавита, например "xiro".
<rnd7> -случайная последовательность букв латинского алфавита, например "fea".

После чего отправляется злоумышленнику.


Методы борьбы
Для удаления вредоносной программы необходимо:

  1. Удалить файл:
    • %Documents and Settings%\%Current User%\Application Data\<rnd>\<rnd1>.exe

  2. Перезагрузить компьютер.
  3. Удалить значение параметра ключа системного реестра:
    • [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
      "<rnd2>" = "%Documents and Settings%\%Current User%\Application Data\<rnd>\<rnd1>.exe"

    • [HKCU\SOFRWARE\Microsoft\<rnd4>]
      "<rnd5>" = "hex:33,8f,a5,8e,69,eb,49,1a,d6,2a,ef,23,d9,be,c0,f1,33,8f,a5,8e,69,eb,\
      49,1a,d6,2a,ef,23,d9,be,c0,f1,81,6a,84,13,6a,54,c6,72,8e,f5,43,d2,17,99,8c,\
      3e,33,8f,a5,8e,69,eb,49,1a,d6,2a,ef,23,d9,be,c0,f1,33,8f,a5,8e,69,eb,49,1a,\
      d6,2a,ef,23,d9,be,c0,f1,33,8f,a5,8e,69,eb,49,1a,d6,2a,ef,23,d9,be,c0,f1,33,\
      8f,a5,8e,69,eb,49,1a,d6,2a,ef,23,d9,be,c0,f1,00,00,00,00"

  4. Восстановить настройки зон безопасности Internet Explorer.
  5. Очистить каталог Temporary Internet Files.
  6. Произвести полную проверку компьютера лечащей утилитой Dr.Web CureIt! либо Антивирусом Касперского с обновленными антивирусными базами.