Trojan-Downloader.Win32.FraudLoad.xfms


Описание
Троянская программа, устанавливающая другие программы на компьютере пользователя без его ведома. Является приложением Windows (PE-EXE файл). Написана на C++. Размер - 27136 байт.


Инсталляция
После запуска троян - извлекает и сохраняет свой файл в каталоге временных файлов текущего пользователя под случайным именем:

  • %Temp%\<rnd>.vbs (3291 байт)

<rnd> – случайное восьмизначное шестнадцатеричное число (например: "4cd53b9a").

При помощи системного командного интерпретатора запускает извлеченный файл:

  • cmd.exe /c %Temp%\<rnd>.vbs

После завершения работы, происходит удаления своего оригинального файла с последующим запуском системного командного интерпретатора с параметрами:

  • /c del <полный путь к оригинальному файлу троянца> > nul

После чего троян завершает свою работу.

Извлеченный трояном файл является VBS-скриптом, реализующим функционал загрузчика. Запустившись, данный файл использует уязвимость в ActiveX компоненте "XMLHTTP", загружает из сети Интернет файл по определенной ссылке. Загруженный файл сохраняется в каталоге "My Documents" текущего пользователя под случайным именем:

  • %USERPROFILE%\My Documents\<rnd>\<rnd>.msi

Данный файл при следующем старте системы будет удален вместе со своим родительским каталогом. Для этого создается ключ системного реестра:

  • [HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce]
    "delpcdefmsi" = "cmd /c rmdir /s /q "%USERPROFILE%\My Documents\<rnd>""

Методы борьбы
Выполняем следующие действия:

  1. Удаляем файлы:
    • %Temp%\<rnd>.vbs
      %USERPROFILE%\My Documents\<rnd>\<rnd>.msi

  2. Удаляем ключ системного реестра:
    • [HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce]
      "delpcdefmsi" = "cmd /c rmdir /s /q "%USERPROFILE%\
      My Documents\<rnd>""

  3. Очищаем каталог Temporary Internet Files.
  4. Произвести полную проверку компьютера бесплатной антивирусной утилитой Dr.Web CureIt! или Антивирусом Касперского с обновленными антивирусными базами.