Троянская программа Trojan-Banker.Win32.Qhost.mmu


Описание
Trojan-Banker.Win32.Qhost.mmu - троянская программа, блокирующая работу компьютера с целью получить выкуп за восстановление работы. Является приложением Windows (PE-EXE файл). Размер - 28672 байта. Упакована при помощи UPX. Распакованный размер — около 37 КБ. Написана на C++.


Инсталляция
После активации троян копирует свое тело в следующий каталог под именем "22CC6C32.exe":

  • %Documents and Settings%\All Users%\ApplicationData%\22CC6C32.exe


После чего перезаписывает следующие системные файлы своими копиями:

  • %System%\taskmgr.exe
  • %System%\dllcache\taskmgr.exe
  • %WinDir%\explorer.exe
  • %System%\dllcache\explorer.exe
  • %System%\userinit.exe
  • %System%\dllcache\userinit.exe


Создает копию файла "explorer.exe" с именем "7C3B2A7D.exe" в корневом каталоге Windows:

  • %WinDir%\7C3B2A7D.exe


и копию файла "userinit.exe" с именем "03014D3F .exe" в системном каталоге Windows:

  • %System%\03014D3F.exe


Если трояну не удалось перезаписать системный файл "taskmgr.exe", тогда он в бесконечном цикле завершает процесс с данным именем.

Для отключения защиты системных файлов Windows File Protection использует недокументированную функцию системной библиотеки "sfc_os.dll".

Для автоматического запуска троян добавляет ссылку на свой исполняемый файл в следующие ключи автозапуска системного реестра:

  • [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
    "Shell" = "Explorer.exe"

или

  • [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
    "Userinit" = "%Documents and Settings%\All Users%\ApplicationData%\22CC6C32.exe"


Деструктивная активность
Для контроля уникальности своего процесса в системе троян создает уникальный идентификатор с именем:

  • BFFF5675-ADC0-4740-81FF-7540597A0DC5


Проверяет наличие в системе процесса с именем:

  • explorer.exe


При обнаружении процесса, троян завершает его.

Троян отображает свое окно поверх всех окон по центру экрана:

Opoveshenie Trojan-Banker.Win32.Qhost.mmu

Номер телефона, отображаемый пользователю, выбирается случайным образом из следующего списка:

  • 8-909-161-46-93
    8-909-940-66-61
    8-909-651-64-62
    8-906-798-29-35
    8-906-097-05-74
    8-909-650-80-66


Методы борьбы
Для удаления вредоносной программы необходимо:

  1. Т.к. данный вредонос не имеет кодов разблокировки, то для его удаления необходимо воспользоваться сервисом для борьбы с программами-вымогателями.

  2. Восстановить значения параметров ключей системного реестра:
    • [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
      "Shell" = "%Documents and Settings%\All Users%\ApplicationData%\22CC6C32.exe"
    • или

    • [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
      "Userinit" = "C:\WINDOWS\system32\userinit.exe"

  3. Восстановить файл:
    • %System%\taskmgr.exe
    • %System%\dllcache\taskmgr.exe

  4. Восстановить файлы:
    • %WinDir%\explorer.exe
    • %System%\dllcache\explorer.exe
    • из созданной троянцем копии:

    • %WinDir%\7C3B2A7D.exe

  5. Восстановить файлы:
    • %System%\userinit.exe
    • %System%\dllcache\userinit.exe
    • из созданной троянцем копии:

    • %System%\03014D3F.exe

  6. Произвести полную проверку компьютера лечащей утилитой Dr.Web CureIt! либо Антивирусом Касперского с обновленными антивирусными базами.