Trojan.Win32.Antavmu.lbf



Технические детали
Троянская программа, выполняющая деструктивные действия на компьютере пользователя. Программа является приложением Windows (PE-EXE файл). Размер - 45904 байта. Упакована при помощи UPX. Распакованный размер — около 79 KБ. Написан на C++.


Инсталляция
Копирует свое тело в системный каталог Windows или во временный каталог текущего пользователя, если в системный каталог скопировать не удалось:

  • %System%\ms<rnd>.exe
  • %Temp%\ms<rnd>.exe


Где <rnd> - произвольная последовательность из цифр и букв латинского алфавита.

Для автоматического запуска троян создает в системе службу, запускающюю его исполняемый файл при каждой последующей загрузке Windows, а так же создает ключ реестра:

  • [HKLM\System\CurrentControlSet\Services\Network Adapter Events]


Деструктивная активность
Троян выполняет следующие деструктивные действия:
1. Для контроля уникальности своего процесса в системе троян создает уникальный идентификатор с именем:

  • msrdp#v2.1.27


2. Останавливает и удаляет следующие службы:

  • Norton Antivirus Service
  • Panda Antivirus
  • Detector de OfficeScanNT
  • McAfee Framework Service
  • sharedaccess
  • OutpostFirewall
  • lnsfw1
  • sfilter
  • SmcService
  • UmxPol
  • UmxLU
  • UmxAgent
  • UmxCfg
  • kmxagent
  • kmxbig
  • kmxcfg
  • kmxfile
  • kmxfw
  • kmxids
  • kmxndis
  • kmxsbx
  • ZoneAlarm
  • vsmon
  • vsdatant
  • IswSvc
  • ISWKL
  • klif
  • klpf
  • klpid
  • kl1
  • WinDefend
  • MpsSvc
  • BFE
  • F-Secure Filter
  • F-Secure Gatekeeper
  • F-Secure HIPS
  • F-Secure Recognizer
  • fsbts
  • FSFW
  • F-Secure Gatekeeper Handler Starter
  • FSDFWD
  • FSMA
  • FSORSPClient


3. Создает пользователя с именем:

  • TermUser


И добавляет пользователя в группы:

  • Администраторы
  • Пользователи удаленного рабочего стола


4. Отключает отображение имени пользователя в диалоговом окне входа в систему. Для этого создает запись в системном реестре:

  • [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\
    SpecialAccounts\UserList]"TermUser"= "0"


5. Проверяет наличие подключения к сети Интернет, путем обращения к следующим URL адресам:

  • www.microsoft.com
  • www.yahoo.com
  • www.msn.com


6. Для получения команд, троянец отправляет запрос вида:

  • POST /query222.php HTTP/1.1 Content-Type: application/x-www-form-urlencoded Host: <URL> Content-Length:
    <длинна поля данных в байтах> Cache-Control: no-cache q=i&id=<серийный номер тома>-<версия ОС>&o=
    < детальная информация об ОС>&v=2.1.27&c=<информация о локализации>&l=<язык>&t=16&lip=
    <IP адрес зараженного компьютера>&ts=OK&u=<имя пользователя>

где <URL> - один из следующих адресов:

  • znco***ent.info
  • ocrd***tcipty.com
  • ocrd***tc.info
  • hvk***emvbim.com
  • eshtg***jsyfjoqt.info
  • eshtg-***syf.com
  • xlam***u-lrychj.info
  • xlam***u-lr.com
  • map***-jragnrw.info
  • map***-jra.com
  • ftiuh***-tzgk.info
  • cqfreo***-qwdhmor.com
  • cqfre***-qwd.info
  • vjyk***-ajpwafh.com
  • vjyk***-ajp.info
  • kynzm***h-yelpu.com
  • kynzm***h-y.info
  • drgs***-irxei.com
  • aodp***-foubfkmp.info
  • aodp***-foub.com
  • thw***-qyhnuydf.info
  • znc***-went.info

По команде троян может загружать обновления, загружать и выполнять инсталляцию компонентов предназначенных для предоставления доступа к зараженному компьютеру по RDP (удаленный рабочий стол) протоколу. Загружаемые файлы сохраняются во временно каталоге текущего пользователя:

  • %Temp%\tem<rnd1>.tmp

где <rnd1> - произвольная последовательность из цифр и букв латинского алфавита.

Если загруженный файл является архивом, содержащим компоненты для установки, то троян создает каталог и помещает туда извлеченные файлы:

  • %Temp%\b<rnd2>\

где <rnd2> - произвольная последовательность из цифр и букв латинского алфавита.

А затем выполняет команду:

  • %System%\cmd.exe /C %Temp%\b<rnd2>\install.cmd

После чего через час выполняет перезагрузку зараженного компьютера.


7. Троянец сохраняет свои настройки в зашифрованном виде в ключе реестра:

  • [HKLM\Software\Microsoft\TermServMonitor]


Методы борьбы
Для удаления вредоносной программы необходимо:

  1. При помощи Диспетчера задач завершить троянский процесс.
  2. Удалить оригинальный файл трояна (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
  3. Удалить ключи реестра:
    • [HKLM\Software\Microsoft\TermServMonitor]
    • [HKLM\System\CurrentControlSet\Services\NetworkAdapter Events]
    • [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserList]"TermUser"= "0"

  4. Удалить файлы и каталоги:
    • %System%\ms<rnd>.exe
    • %Temp%\ms<rnd>.exe
    • %Temp%\tem<rnd1>.tmp
    • %Temp%\b<rnd2>\

  5. Удалить из системы пользователя с именем:
    • TermUser

  6. Произвести полную проверку компьютера лечащей утилитой Dr.Web CureIt! либо Антивирусом Касперского с обновленными антивирусными базами.