Trojan-Downloader.Win32.Agent.flkh


Описание
Троянская программа, скачивающая другое программное обеспечение на компьютер пользователя без ведома пользователя и запускающая его на исполнение. Программа является приложением Windows (PE EXE-файл). Размер - 87040 байт. Упакована при помощи ASPack. Распакованный размер – около 152 КБ. Написана на Visual Basic.


Инсталляция
После активации троян копирует свой исполняемый файл в первый из существующих каталогов нижеприведенного списка под именем "MsnUpdtr.exe":

  • C:\Program Files\Messenger\MsnUpdtr.exe
  • C:\Program Files\Windows Live\Messenger\MsnUpdtr.exe
  • C:\Program Files\Windows Live\MsnUpdtr.exe
  • C:\Program Files\MSN Apps\Updater\MsnUpdtr.exe
  • C:\Program Files\MSN Messenger\MsnUpdtr.exe


Для автоматического запуска троян добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:

  • [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
    "MsnUpdtr"="<путь к телу троянца>\MsnUpdtr.exe"


Деструктивная активность
Троян загружает файл со следующего URL:

  • http://www.sn***lf.net/msnupdt/info.dat


Загруженный файл сохраняется в рабочем каталоге троянца.

  • %WorkDir%\temp.dat

На момент создания описания загруженный файл содержал следующие строки:

  • Required -> Yes
    http://www.snip***olf.net
    sniperwolf.net

Затем троянец выполняет обращение к ресурсу указанному в загруженном файле конфигурации.

Во время своей работы троян создает следующие файлы:

  • %WorkDir%\Log.txt
    %WorkDir%\SucLog.txt

в которые записывает информацию о ходе своей работы, такую как запуск, информация о зараженных сменных носителях.

Также троянец создает следующие записи в системном реестре:

  • [HKCU\Software\Microsoft\Notepad]
    "lfRand"="IP адрес зараженного компьютера в зашифрованном виде"
    "lfCurrentEdit"="дата установки троянца в зашифрованном виде"


Распространение
Троянец копирует свое тело на все доступные для записи съемные диски под следующим именем:

  • <имя зараженного раздела>:\MsnUpdtr.exe

Файлу присваиваются атрибуты "скрытый" (hidden), "системный" (system).

Вместе со своим исполняемым файлом троянец помещает файл "autorun.inf":

  • <имя зараженного раздела>:\autorun.inf

который содержит следующие строки:

  • [autorun]
    shellexecute=MsnUpdtr.exe
    shell\lost=Open
    shell\lost\command=MsnUpdtr.exe
    shell=lost


Методы борьбы
Для удаления вредоноса необходимо:

  1. При помощи "Диспетчера задач" завершить троянский процесс.
  2. Удалить оригинальный файл троянца (расположение зависит от способа попадания трояна на компьютер).
  3. Удалить файл:
    • %WorkDir%\Log.txt
      %WorkDir%\SucLog.txt
      %WorkDir%\temp.dat
      C:\Program Files\Messenger\MsnUpdtr.exe
      C:\Program Files\Windows Live\Messenger\MsnUpdtr.exe
      C:\Program Files\Windows Live\MsnUpdtr.exe
      C:\Program Files\MSN Apps\Updater\MsnUpdtr.exe
      C:\Program Files\MSN Messenger\MsnUpdtr.exe
      <имя зараженного раздела>:\MsnUpdtr.exe
      <имя зараженного раздела>:\autorun.inf

  4. Удалить ключи реестра (реестр):
    • [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
      "MsnUpdtr"="<путь к телу троянца>\MsnUpdtr.exe"
    • [HKCU\Software\Microsoft\Notepad]
      "lfRand"="IP адрес зараженного компьютера в зашифрованном виде"
      "lfCurrentEdit"="дата установки троянца в зашифрованном виде"

  5. Произвести полную проверку компьютера лечащей утилитой Dr.Web CureIt! или Антивирусом Касперского с обновленными антивирусными базами.