VirusHunter предупреждает всех пользователей ПК об обнаружении в сети Интернет троянской программы Trojan-Downloader.PowerScan.11, распространяющейся под видом программы-сканера для очистки компьютера от порнографического мусора...


1. Инсталляция в систему.

Троянская программа Trojan-Downloader.PowerScan.11 устанавливается на компьютеры через сеть Интернет в том случае, если машина поражена одной из троянских программ небезызвестного семейства " Trojan-Downloader.ISTbar" - вариантмами MegaLoader или MegaLoader-II.
Программа Trojan-Downloader.PowerScan.11 записывается на пораженный вышеуказанными троянцами компьютер в виде файла под названием powerscan.exe и размером 70144 байта (файл сжат утилитой компрессии "UPX" версии 1.24; в декомпрессированном виде его размер составляет 184320 байт, а основная часть его кода зашифрована) в следующие создаваемые ими подкаталоги внутри системной папки "Program Files":

Program Files\PowerScan\powerscan.exe
Program Files\IST\powerscan.exe

Данная программа имеет графический интерфейс и "косит" под некий сканер "PowerScan v1.1" для проверки машины на наличие "порнографического мусора".


2. Функционал программы. Вредоносные действия.

При запуске программа выводит на экран следующее рабочее окно:


Функционал программы содержит следующие опции:

Опция START SCAN - запускает процесс сканирования всех жестких дисков компьютера для проверки на наличие "порнографического мусора". В реальности же программа просто ищет следующие фрагменты текста (некоторые встречаются в списке программы по несколько раз):

al4A
anal
anabolic
alisha
Adriana
Alex
Alisha
Klass
Alicia
Alicyn
Sterling
Amber
Anita
Ashlyn
Ashton
Carrera
Aurora
Ava Vincent
Azlea Antistia
alisha
amber
anus
antiqueporn
adult
amateur
asian
americanbukkake
bestiality
buttplug
Barbara
Barbie
Belladonna
Blondi
Bonita
Briana Bridgette
Brittany
Bunny Luv
bondage
boob
bdsm
blowjob
bukake
butts
bitch
bikini
bangbus
blonde
bareback
babe
busty
buttman
bisexual
cute
Cameron
Carmen
Cassidey
Celeste
Cleopatra
Charmane
Chasey Lain
Cherry
Chloe
Christy
Claudia
cock
cumming
clit
cumshot
cunt
chicks
cheerleader
clitoris
chicksride
coyote girls
college girls
doggy
double penetration
Debbie Diamond
Denisa
Devon
Dominica
Draghixa
dick
dildo
dirty bird
dirty babes
deepthroat
erotic
Ember
ejaculation
ebony
euroangel
emmanuel
felation
freeporn
Felacia Danay
Felix Vicious
Felony
Foxy
Francesca
fastporn
freesex
fisting
farmsex
fingering
facial
fetish
foursome
footlover
fuck
gangbang
gape
groupsex
Ginger
Goldie
gay
gaping
hoes
holes
hore
horny
hardcore
horsesex
handjob
hotass
hidden
hentai
Hannah
Hyapatia
interracial
Jenna
Jenna Jameson
Jenteal
Jessica Drake
Jezebelle
Jewel De Nyle
jillkeley
Jill Kelly
Juanita
kiddysex
Kaitlyn Ashley
Kalani
Kascha
Keisha
Kim Mckay
Kobe
Kristina
bluegirl
Christina
Britney
latina
Little Jody
Lucinda
lesbian
latex
lolita
levrette
lovette
masturbate
Madison
Margo Stevens
Mariah
Midori
Monica
mannequin
mini-skirt
mini-jupe
mouthfuck
mature
monkey love
nenette
Nadia
Nikita
Nikki
Tyler
Kournikova
naked
nudity
nudist
nude
nake
nasty
nympho
nipple
orgy
oral sex
orgasm
penetration
Papoose
Patricia
Precious Girl
piercing
vinyl
pedophily
tight ass
putes
pussy
petsex
pornstars
penthouse
Playboy
playboy
playgirl
Playgirl
porn mail
photonu
porn
putas
panties
panty
pamela
Pamela
Pornstars
penis
peter north
raped
ramble
rectal
rocco
Racquel Derrian
Raylene
rebecca
ron jeremy
rimming
Silvia
Sylvia
Sophie
Evans
Stacey
Donovan
Stacey
Valentine
Stephanie
boobies
Swan
Syren
Sex
Sexy
shit
skullfuck
sweet
slave
sissy
sex services
sexfarm
sweet
sexy senior
sex story
smut
squirt
jstring
sabrina
smack
swallow
spycam
sexual
Sylvia Saint
sluts
slut
snowball
sexhound
shemale
softcore
springbreak
swedish
sucking
swallow
stud
strip
sperm
taboo
titties
taylor
Temptress
Weigel
Tiffany
Mynx
Tonisha
Trisha
Tyler
tits
tight
teens
teenage
tiabella
thailandsex
j-string
tanga
threesome
thong
torture
upskirt
vivid
vaginal
virgins
Venus
Veronica
Vicca
Victoria
Violet
Vivianne
voyeur
whore
Wendy Knight
whip
xx
xxx


Все эти фрагменты программа ищет в именах графических, анимационных (Macromedia Flash Player) и видео-файлов с такими расширениями:

avi
mpg
mpeg
jpg
jpeg
gif
tif
bmp
asf
wmf
mov

, а также внутри следующих системных лог-файлов:

cookies.txt
netscape.hst
index.dat

При обнаружении хотя бы одного из таких файлов программа указывает его местоположение в поле результатов сканирования (точно так же, как это делают антивирусные сканеры при обнаружении вредоносного файла), а по окончании процесса поиска выдает сообщение


Опция STOP SCAN - останавливает процесс сканирования файлов.

При щелчке на любом из указанных программой "ненужных" файлов можно просмотреть их свойства, например:


Опция CLEAN OUT YOUR COMPUTER - открывает окно Web-броузера Internet Explorer для связи с сетью Интернет через 1025-й или какой-либо последующий машинный порт (если 1025-й по каким-либо причинам недоступен), вызывая в строке поиска ссылку (часть ссылки по соображениям безопасности я заменил значком "%")

http://www.slotch.com/%/%/ist_shortcuts_jump.php?fav_id=209

Через данный сайт троянец скрытно пытается загрузить в машину и запустить на выполнение какие-то др. троянские программы. При этом, чтобы пользователь ничего не заподозрил, ссылка в поисковой строке Web-броузера перенаправляется на др. программный сайт (с реальной программой очистки порнографического мусора ?):

http://www.power-cleaner.com/skins/default/index.html?adv_id=134701&campaign=old_go&origin=promo&program_id=5&subprogram_id=1&site_id=54&ref_url=


Во время загрузки файлов программа обменивается с удаленной машиной, на которой расположены эти файлы, техническими данными в виде следующих сообщений:

item found

items found

Power Scan


Закачанные файлы регистрируются программой в системном реестре при помощи создаваемых ею 2-х классов ключей:

{CC667211-7CE9-40c5-809A-1DA48E4014C4}
и {CC667211-7CE9-40c5-809A-1DA48E4014C5}

Опция Start PowerScan automaticly at Windows startup - если пользователь по собственному желанию отметит "птичкой" эту опцию, то программа будет загружаться при каждом старте системы, показывая свое главное окно (соответственно, если снять "птичку", то автозагрузка программы будет удалена из системы). Для возможности своего автозапуска программа добавляет в системный реестр следующие ключи:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"Power Scan"="C:\\Program Files\\[имя подкаталога]\\POWERSCAN.EXE"

[HKEY_LOCAL_MACHINE\Software\PowerScan\]
"LoadNum"=dword:00000003


Назначение 2-го ключа программы не совсем понятно - возможно, он используется для хранения каких-то служебных данных.

Опция ABOUT POWERSCAN - выдает на экран следующее информационное окно:


Опция UNINSTALL POWERSCAN - открывает окно Internet Explorer, в котором программа вызывает ссылку

http://www.power-scan.com/remove.html

По этой ссылке в машину загружается безобидный файл power_remove.exe размером 5120 байт (также сжат утилитой "UPX" версии 1.24; в декомпрессированном виде имеет размер 32768 байт). Этот файл представляет собой безобидную программу, удаляющую "PowerScan" из машины; он (файл) отсылался в антивирусные компании "Лаборатория Евгения Касперского" (Kaspersky AntiVirus) и "Softwin" (BitDefender Professional), поскольку антивирусы данных разработчиков ошибочно детектировали его как троянскую программу Trojan-Downloader.Win32.IstBar.gi и Trojan.Downloader.IstBar.GI соответственно. Однако теперь, начиная с 17.09.2005, ложное распознание было исправлено и файл power_remove.exe более не детектируется как вредоносная программа.
При запуске power_remove.exe копирует себя в каталог временных файлов системы или текущего пользователя, что зависит от типа установленной на компьютере ОС Windows, под названием uninstall.exe:

для Windows 9X/ME:

WINDOWS\TEMP\uninstall.exe

для Windows 2K/2K Server/XP:

Documents and Settings\%user%\Local Settings\TEMP\uninstall.exe

Затем этот файл запускается на выполнение, выдавая на экран окно со следующим меню:


Если пользователь выбирает опцию Нет, то uninstall.exe просто завершает свою работу; если выбрана опция Да, то uninstall.exe удаляет из автозагрузки реестра ключи, прописанные программой "PowerScan", выгружает из системной памяти процесс Program Files\Power Scan\powerscan.exe и удаляет данный подкаталог вместе с файлом powerscan.exe (примечание: если программа "PowerScan" была установлена в др. подкаталог, то uninstall.exe удалит только созданные троянцем ключи автозапуска). Далее uninstall.exe выдает на экран сообщение


, завершая на этом свою работу. После процесса удаления "PowerScan" оба файла - power_remove.exe и его копия uninstall.exe представляют собой не более, чем файловый мусор.


7. Детектирование и удаление троянской программы.

На момент создания данного описания антивирусы детектируют программу Trojan-Downloader.PowerScan.11 (файл powerscan.exe) под такими идентификационными названиями:

Антивирус Kaspersky AntiVirus: Trojan-Downloader.Win32.IstBar.gg

Антивирус BitDefender Professional: Trojan.Downloader.IstBar.GG

Антивирус DrWeb: Adware.PowerScan

При выявлении в компьютере данной программы необходимо просто удалить файл powerscan.exe вместе с подкаталогом, в котором он находится. Также для удаления троянца Вы можете воспользоваться вышеописанной оригинальной авторской утилитой, которую можно скачать здесь.


8. Другие обнаруженные модификации троянца.

Были обнаружены еще 2 модификации данной троянской программы (судя по всему - более ранняя и более поздняя), которые практически идентичны вышеописанному варианту, и отличаются от него лишь меньшим количеством поисковых фрагментов текста, которые используется для "обнаружения" порнографического мусора.
Оба варианта тоже называются powerscan.exe и имеют размеры 69120 байт и 71680 байт соответственно (файлы сжаты утилитой компрессии "UPX" версии 1.24; в декомпрессированном виде их размеры составляют 184320 байт и 241664 байта соответственно, а основная часть их кода зашифрована).
На момент написания этих строк антивирусные компании детектируют данные 2 варианта powerscan.exe под такими идентификационными названиями:

Антивирус Kaspersky AntiVirus: not-a-virus:AdWare.PowerScan.b,d (расширенным набором антивирусных баз)
Антивирус BitDefender Professional: проигнорированы
Антивирус DrWeb: Adware.PowerScan


Исследование вредоносного кода и разработка описания: Бройде Герман (aka VirusHunter)
Дата создания: 18.09.2005
Дата внесения последних изменений: 13.12.2005
Автор описания: Бройде Герман (aka VirusHunter)


Rambler's Top100

0.00355195999146