Trojan.PWS.Panda.387


Детектируется другими антивирусами
Trojan.Win32.Genome.mfgd (Kaspersky), Win32:Spyware-gen (Avast), Pakes.HVX (AVG)


Описание
Троянская программа-шпион, предназначенная для похищения конфиденциальной информации пользователя. Является приложением Windows (PE-EXE файл). Размер - 138550 байт. Упакована при помощи UPX. Распакованный размер — около 138 КБ.


Инсталляция
После запуска троян создает копию своего файла со случайным именем и запускает ее на исполнение:

  • %AppData%\<rnd1>\<rnd2>.exe

  • <rnd1> и <rnd2> - наборы из случайный букв латинского алфавита, например, "Evazas" или "rahu";

После запуска на исполнение копии - удаляет свое тело и завершает свое выполнение. Для удаления своего оригинального файла создает и запускает на исполнение файл командного интерпретатора со случайным именем:

  • %Temp%\tmp<rnd3>.bat

  • <rnd3> - случайный набор букв латинского алфавита и цифр, например, "bdc5acc3".


Деструктивная активность
Копия трояна выполняет следующие действия:

  1. Внедряет свой код во все пользовательские процессы;
  2. Для хранения своей служебной информации создает файл и ключ реестра:
    • %AppData%\<rnd4>\<rnd5>
    <rnd4> - набор из случайных букв латинского алфавита, например, "Oqys";
    <rnd5> - набор из случайных букв латинского алфавита с расширением, также состоящим из случайных букв, например, "uzamy.noe" или "ogezt.uwa".
    • [HKCU\SOFRWARE\Microsoft\<rnd6>]
      "rnd7" = "<зашифрованная служебная информация троянца>"

  3. Создает ключ реестра
    • [HKLM\SOFTWARE\Microsoft\DirectDraw\MostRecentApplication]
      "Name" = "<rnd2>"
      "ID" = dword:3e35b794

  4. Для своего последующего автоматического запуска, добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:
    • [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
      "{<rnd8>}" = "%AppData%\<rnd1>\<rnd2>.exe"

    <rnd8> - уникальный идентификатор компьютера пользователя, состоящий из букв латинского алфавита и цифр, например, "3D4D6505-03ED-B397-F0G9-17F5C6139349" или "FAE16613-CCD0-C826-79B6-31A9405FB515". При внедрении троянца в один из следующих процессов:
    • explorer.exe
    • rdpclip.exe
    • ctfmon.exe
    • wscntfy.exe
    • taskeng.exe
    • taskhost.exe
    • dwm.exe

    Отправляет запрос на сервер злоумышленника с целью получения конфигурационного файла в зашифрованном виде для дальнейшей своей работы:
    • host1***ster.com

    Устанавливает следующие значения ключей системного реестра:
    • [HKCU\Software\Microsoft\Internet Explorer\PhishingFilter]
      "Enabled" = "0"
    • [HKCU\Software\Microsoft\Internet Explorer\PhishingFilter]
      "EnabledV8" = "0"
    • [HKCU\SoftwareSoftware\Microsoft\Internet Explorer\Privacy]
      "CleanCookies" = "0"

    Таким образом отключает фишинговый фильтр браузера Internet Explorer и отключает опцию удаления cookie.

    Также изменяет настройки зон безопасности Internet Explorer для отключения уведомлений и изменений доступа к данным при посещении веб-узлов:
    • [HKCU\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS\ZONES\0]
      "1609" = "0"
    • [HKCU\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS\ZONES\1]
      "1406" = "0"
      "1609" = "0"
    • [HKCU\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS\ZONES\2]
      "1609" = "0"
    • [HKCU\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS\ZONES\3]
      "1406" = "0"
      "1609" = "0"
    • [HKCU\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS\ZONES\4]
      "1406" = "0"
      "1609" = "0"

    Удаляет параметр следующего ключа реестра:
    • [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
      "internat.exe" =


В зависимости от файла конфигурации, троян может выполнять следующие действия:

  • загружать и запускать на исполнение другие вредоносные файлы, загруженные файлы при этом сохраняются в подкаталоге временного каталога текущего пользователя Windows:
    • %Temp%\tmp<rnd7>\<имя вредоносного файла>
    <rnd7> - набор из случайных букв латинского алфавита и цифр.

  • отправлять на адрес злоумышленника имена Интернет-ресурсов, сохраненные пароли к ним, cookie;
  • устанавливать перехватчики функций, используемые браузерами Internet Explorer и Mozilla Firefox для похищения вводимой пользователем информации (как правило, это учетные записи платежных систем и банков);
  • перенаправлять пользователя на другие ресурсы, например, фишинговые или содержащие эксплоиты
  • для обхода виртуальных клавиатур делать скриншоты при нажатии клавиши мыши
  • добавлять поддельные формы для ввода аккаунтов доступа к различным банковским и платежным системам;
  • рассылку спама;
  • поиск и удаление файлов на компьютере пользователя;
  • встраивание в html-страницы посторонних скриптов;
  • похищать сертификаты безопасности;
  • блокировать посещение ресурсов, указанных в конфигурационном файле;
  • использовать VNC - систему удалённого доступа к рабочему столу компьютера.


Методы борьбы
Для удаления вредоносной програмы необходимо выполнить следующие действия:

  1. При помощи Диспетчера задач завершить процессы:
    • explorer.exe
    • rdpclip.exe
    • ctfmon.exe
    • wscntfy.exe
    • taskeng.exe
    • taskhost.exe
    • dwm.exe

  2. Удалить ключ автозапуска трояна:
    • [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
      "{}" = "%AppData%\\.exe"

  3. Выполнить перезагрузку компьютера.
  4. Восстановить значения параметров ключей системного реестра (реестр):
    • [HKCU\Software\Microsoft\Internet Explorer\PhishingFilter]
      "Enabled" = "0"
    • [HKCU\Software\Microsoft\Internet Explorer\PhishingFilter]
      "EnabledV8" = "0"
    • [HKCU\SoftwareSoftware\Microsoft\Internet Explorer\Privacy]
      "CleanCookies" = "0"
    • [HKCU\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS\ZONES\0]
      "1609" = "0"
    • [HKCU\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS\ZONES\1]
      "1406" = "0"
      "1609" = "0"
    • [HKCU\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS\ZONES\2]
      "1609" = "0"
    • [HKCU\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS\ZONES\3]
      "1406" = "0"
      "1609" = "0"
    • [HKCU\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS\ZONES\4]
      "1406" = "0"
      "1609" = "0"

  5. Очистить систему программами CCleaner или jv16PowerTools
  6. Произвести полную проверку компьютера лечащей утилитой Dr.Web CureIt! или Антивирусом Касперского с обновленными антивирусными базами.