Trojan.VkBase.1


Тип вируса: троянец-загрузчик, ремувер защитного ПО.

Вредоносная программа распространяется с вредоносного сайта в домене .ru, под видом архивов с личной информацией, принадлежащей пользователям социальной сети ВКонтакте.
Скачиваемый файл является исполняемым exe-файлом, который формируется на вредоносном сайте динамически в зависимости от параметров поиска, которые ввёл пользователь.

При запуске троянца (исполняемый файл запускается без параметров) выводится окно, внешне напоминающее интерфейс Проводника Windows с содержащимися необходимыми приватными сведениями.
Затем программа устанавливает себя в систему в качестве сервиса с именем zipdrivers. После этого созданный сервис запускается и производит поиск установленных в системе антивирусных продуктов. Если был найден один из антивирусных продуктов Dr.Web для Windows, то с вредоносного интернет-сервера скачивается дополнительный модуль, определяемый Dr.Web как Trojan.AVKill.2942.

Далее производится перезагрузка компьютера в безопасный режим Windows и удаление из системы антивирусных программ следующих производителей:

  • AGAVA;
  • avast!;
  • Avira;
  • Agnitum;
  • Comodo;
  • Dr.Web;
  • ESET;
  • Kaspersky;
  • McAfee;
  • Symantec.

Для перезагрузки системы в безопасном режиме Trojan.VkBase.1 редактирует системный файл boot.ini, для Windows Vista и более поздних версий Windows используется системная утилита BCDEdit. В результате этих действий к параметрам загрузки системы добавляется параметр

  • /safeboot:network


что соответствует запуску системы в Безопасном режиме с поддержкой сети.

Для запуска сервиса троянца в Безопасном режиме Windows, в системном реестре создаётся следующая запись:

  • HKLM\System\CurrentControlSet\Control\SafeBoot\Network\zipdrivers


После загрузки системы в Безопасном режиме сервис вредоносной программы автоматически стартует и удаляет установленный в системе антивирус.

Для удаления из системы продуктов Dr.Web для Windows используется дополнительно загружаемый модуль, эксплуатирующий уязвимость модуля самозащиты, который определяется Dr.Web как Trojan.AVKill.2942, т.к. самозащита в продуктах Dr.Web для Windows функционирует и в Безопасном режиме Windows. В настоящее время данная уязвимость в продуктах Dr.Web для Windows устранена. Для удаления остальных антивирусных продуктов из системы дополнительные модули троянцу не требуются.

Далее троянец отключает сервис контроля учётных записей пользователей (UAC), а также вносит настройки в работу системы, которые позволят впоследствии троянцу запускать исполняемые файлы, загружаемые из Интернета, без уведомления пользователя.

Кроме того, программа создаёт свою копию в файле

\WINDOWS\TEMP\tray_tmp.exe

и дополнительно устанавливает себя на запуск (помимо сервера) в ветке системного реестра:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

После этого параметры загрузки системы возвращаются в исходное состояние, и система перезагружается в обычном режиме, и загружает далее с вредоносного сервера два исполняемых файла, которые по классификации Dr.Web именуются как Trojan.Winlock.2477 и Trojan.Fakealert.19448. Последний загружается лишь в том случае, если удаление установленного в системе антивируса завершилось успешно.

Trojan.Winlock.2477 записывается в каталог Windows под именем win32boot.exe, после чего запускается.

Trojan.Fakealert.19448 записывается в каталог Windows под именем av_soft.exe, после чего также запускается.

Файл tray_tmp.exe после всех этих действий остаётся в системной папке и продолжает запускаться. При этом сервис zipdrivers также продолжает запускаться, хотя и остаётся неактивным. При своём запуске tray_tmp.exe проверяет наличие файла, соответствующего Trojan.Winlock.2477 и в случае его отсутствия снова загружает с сервера и запускает.