VirusHunter предупреждает всех пользователей ПК о распространении в сети Интернет опасной троянской программы Trojan-Downloader.HackWeb.4809, загружающей на пораженный ею компьютер значительное количество др. вредоносных программ, а также блокирующей работу системной службы "Диспетчер задач"...


1. Источники попадания в машину.

Этот раздел описания практически полностью идентичен аналогичному в описании троянской программы Trojan-Downloader.HackWeb.4577 и отличается лишь единственной деталью: при попадании троянца на машину-жертву внутри CHM-файла название троянской программы не web.exe, а win32.exe.


2. Инсталляция в систему.

Этот раздел описания практически полностью идентичен аналогичному в описании троянской программы Trojan-Downloader.HackWeb.4577 за исключением следующих деталей:

1. Троянский файл win32.exe (kernels32.exe) имеет размер 4809 байт, сжат утилитой компрессии "FSG" версии 2.0; в декомпрессированном виде размер файла, в приближении к оригинальному, составил 45056 байт;
2. Для возможности автозапуска своего файла kernels32.exe при каждом старте Windows троянская программа создает в системном реестре только следующие ключи:

под Windows 9X/ME:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"System"="C:\\WINDOWS\\SYSTEM\\kernels32.exe"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices]
"SystemTools"="C:\\WINDOWS\\SYSTEM\\kernels32.exe"


под Windows 2K/2K Server/XP/2K3:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"System"="C:\\WINDOWS\\system32\\kernels32.exe"


Таким образом, данный троянец не создает ключа, при помощи которого мог бы запускаться как компонент графической оболочки ОС Windows, что использовалось в его (троянца) вышеуказанной модификации.
Под Windws 9X/ME, при старте системы троянский файл kernels32.exe загружается в оперативную память дважды (что может в дальнейшем привести к конфликту между его копиями) - просто как компонент автозагрузки (срабатывает ключ со значением "System"), и как системный сервис (срабатывает ключ со значением "SystemTools"). Также в коде троянца исправлена ошибка, которая в его ранней модификации вызывала при старте данных ОС Windows открытие пустого окна вэб-броузера Internet Explorer.
Все остальные детали этого раздела полностью идентичны аналогичному в описании варианта Trojan-Downloader.HackWeb.4577.


3. Блокирование троянцем системной службы "Диспетчер задач".

Этот раздел описания полностью идентичен аналогичному в описании троянской программы Trojan-Downloader.HackWeb.4577.


4. Загрузка др. вредоносных программ.

На протяжении всей работы системы троянский процесс kernels32.exe остается активным и периодически проверяет подключение к сети Интернет и доступность 80-го порта протокола TCP/IP. Если данный порт не задействован какой-либо др. программой и подключение к Интернету активно, то троянец связывается, используя установленный "по умолчанию" в системе HTTP-протокол, с нижеприведенным сервером (часть значений блоков домена заменена мной символом "%" по соображениям безопасности), на котором пытается обнаружить следующие рабочие ссылки (в теле троянца они присутствуют в зашифрованном виде):

http://85.255.%.%/9adload.php
http://85.255.%.%/9aduniq.php
http://85.255.%.%/9adv9/~viframe.%


Также проверяются и некоторые др., расположенные на этом же сервере. Если удается найти активную ссылку, то троянец открывает на машине-жертве 53-й порт протокола TCP/IP (загрузка файлов) и скрытно устанавливает ряд др. троянских программ. В качестве места хранения загружаемых файлов троянец создает в корне произвольно выбранного им логического диска - например, D:, каталог с названием D:\Temp. В этот каталог сохраняются следующие троянские файлы:

1.qtdfmp - троянская программа Trojan-Downloader.LittleTroy.sexer, которая копирует себя в файл efsdfgxg.exe, располагаемый в том же системном подкаталоге, что и троянец kenels32.exe;
2.qtdfmp - троянская программа, предлагающая установить несколько др. троянских программ ("SpySheriff" и "SpywareNo") под видом "Антитроянских" (файл троянца никакими утилитами не обработан и имеет размер 28160 байт; после запуска создает свою копию как C:\winstall.exe, а также постоянно пугает пользователя сообщениями вида

Your computer is infected!
Windows has detected spyware infection!


; детально его код не изучался);
3.qtdfmp - не обнаружен;
4.qtdfmp - не обнаружен;
5.qtdfmp - троянская программа Trojan-Downloader.HackWeb.small-C;
6.qtdfmp - троянская программа Trojan-Downloader.HackWeb.small-E;
7.qtdfmp - троянская программа Trojan-Downloader.HackWeb.small-F.

Данные файлы копируются в тот же системный подкаталог, где расположен сам kernels32.exe, под следующими названиями:

1.qtdfmp -> vxh8jkdq1.exe и vxh8jkdq8.exe
2.qtdfmp
-> vxh8jkdq2.exe
5.qtdfmp
-> vxh8jkdq5.exe
6.qtdfmp
-> vxh8jkdq6.exe
7.qtdfmp
-> vxh8jkdq7.exe.

Затем все эти файлы запускаются на выполнение (кроме vxh8jkdq8.exe) и в дальнейшем функционируют самостоятельно.
Отчет об обнаруженных и загруженных из Интернета файлах троянец хранит в зашифрованном виде в создаваемом им файле vx.tll, расположенном в том же системном подкаталоге, что и kernels32.exe.


5. Прочее.

Этот раздел описания практически полностью идентичен аналогичному в описании троянской программы Trojan-Downloader.HackWeb.4577 и отличается лишь одной-единственной деталью: уникальная логическая "метка", устанавливаемая троянцем в системной памяти для идентификации своего (?) и др. троянских программ (?) присутствия в зараженной системе, выглядит так:

xcghngfhnjhnmmx


6. Детектирование и удаление троянца из машины.

Trojan-Downloader.HackWeb.4809
и загружаемые им троянские программы антивирусы детектируют так:

Антивирус Kaspersky AntiVirus:
файл-архив targ.chm: Trojan-Downloader.Win32.Tibs.s
файлы kenels32.exe, win32.exe и lo1367841195.exe: Trojan-Downloader.Win32.Tibs.s
файлы 1.qtdfmp, vxh8jkdq1.exe, vxh8jkdq8.exe и efsdfgxg.exe: Trojan-Clicker.Win32.Small.hx
файлы 2.qtdfmp, vxh8jkdq2.exe и winstall.exe: not-virus:Hoax.Win32.Renos.p (файл является вариантом программы, детектируемой как Trojan-Clicker.Win32.Spywad.h)
файл 5.qtdfmp и vxh8jkdq5.exe: Trojan-Downloader.Win32.Small.bon
файл 6.qtdfmp и vxh8jkdq6.exe: Trojan-Downloader.Win32.Tibs.s
файл 7.qtdfmp и vxh8jkdq7.exe: Trojan-Downloader.Win32.Tibs.s

Антивирус DrWeb:
файл-архив targ.chm: Exploit.CodeBase
файлы kenels32.exe, win32.exe и lo1367841195.exe: Trojan.DownLoader.2489
файлы 1.qtdfmp, vxh8jkdq1.exe, vxh8jkdq8.exe и efsdfgxg.exe: Trojan.Click.680
файлы 2.qtdfmp, vxh8jkdq2.exe и winstall.exe: Trojan.Fakealert
файлы 5.qtdfmp и vxh8jkdq5.exe: Trojan.DownLoader.4526
файлы 6.qtdfmp и vxh8jkdq6.exe: Trojan.DownLoader.4716
файлы 7.qtdfmp и vxh8jkdq7.exe: Trojan.DownLoader.4716

Антивирус BitDefender Professional:
файл-архив targ.chm: Trojan.Codeba.A
файлы kenels32.exe, win32.exe и lo1367841195.exe: Trojan.Downloader.Small.VAM (декомпрессированный файл - Generic.Malware.Sdld!.A549B9FA)
файлы 1.qtdfmp, vxh8jkdq1.exe, vxh8jkdq8.exe и efsdfgxg.exe: Trojan.Clicker.Win32.Small.HX
файлы 2.qtdfmp, vxh8jkdq2.exe и winstall.exe: Trojan.Hoax.Renos.P
файлы 5.qtdfmp и vxh8jkdq5.exe: Trojan.Downloader.Small.IS (декомпрессированный файл - Generic.Malware.Yddld!!.27389E87)
файлы 6.qtdfmp и vxh8jkdq6.exe: Trojan.Downloader.Small.AGE (декомпрессированный файл - Generic.Malware.dld!!.964360CF)
файлы 7.qtdfmp и vxh8jkdq7.exe: Trojan.Downloader.Tibs.M (декомпрессированный файл - Trojan.Downloader.Small.AGE)

После удаления Trojan-Downloader.HackWeb.4809 восстановить работоспособность "Диспетчера задач" можно при помощи утилиты из набора спец. ПО от VirusHunter'а, который можно скачать здесь. Перед использованием утилиты настоятельно рекомендую прочитать прилагаемое к набору руководство пользователя.


Исследование вредоносного кода и разработка описания: Бройде Герман (aka VirusHunter)
Дата создания: 29.10.2005
Дата внесения последних изменений: 30.05.2006
Автор описания: Бройде Герман (aka VirusHunter)


Rambler's Top100

0.00181913375854