VirusHunter предупреждает всех пользователей ПК о распространении в сети Интернет нескольких модификаций троянской программы Trojan.Web-guide.performent, скрытно устанавливающей на пораженные ею компьютеры др. вредоносные программы...


Trojan.Web-guide.performent217

1. Инсталляция в систему.

Семейство троянских программ Trojan.Web-guide.performent является упрощенным вариантом троянской программы zolker011.dll (см. описание Trojan.Web-guide.zolker011). Принцип работы, структура кодов данных программ и, в частности, полная идентичность алгоритма шифрования функциональных частей не оставляют никаких сомнений, что все эти троянцы написаны одним и тем же автором.
Trojan.Web-guide.performent217 устанавливается в машину вариантом Trojan.Web-guide.performent011, описание которого также приведено в данной статье.
Сначала в машину загружается из сети Интернет файл 001.exe размером 13381 байт. Файл сжат утилитой компрессии "FSG" версии 2.0; в декомпрессированном виде его (файла) размер, в приближении к оригинальному, составил 65536 байт.
001.exe представляет собой дроппер-файл (программу-пускатель). Внутри него содержится DLL-файл, который и является троянцем Trojan.Web-guide.performent217. При запуске 001.exe создает в том же подкаталоге, где расположен сам, вспомогательный файл p2hhr.bat размером 44 байта, который тут же запускается на выполнение. Суть этого файла, написанного на языке Batch-скрипт (командный язык DOS), сводится к следующему: он проверяет наличие файла 001.exe в текущей папке до тех пор, пока последний не закончит установку содержащегося в его теле троянского DLL-файла. После этого p2hhr.bat удалит и 001.exe, и себя.
DLL-файл троянца устанавливается в следующие системные подкаталоги под таким именем:

для Windows 9X/ME:

WINDOWS\SYSTEM\performent217.dll

для Windows 2K/2K Server/XP:

WINDOWS\System32\performent217.dll

После этого он запускается файлом-дроппером на выполнение и в дальнейшем функционирует самостоятельно.
DLL-файл имеет размер ровно 20 кб, никакими утилитами компрессии или криптации не обработан; функциональная часть зашифрована несложным внутренним алгоритмом. Также интересной особенностью троянца является то, что вредоносный функционал содержится в его теле в двух вариантах: в оригинальном (рабочий код) и в виде отдельного блока, расположенного в хвостовой части файла и сжатого каким-то паковщиком (внутренняя компрессия). С какой целью это сделано - непонятно.
Для возможности скрытного запуска при каждом старте системы, а также подключения в качестве дополнительного плагина к вэб-броузеру Internet Explorer, троянец создает в реестре следующие ключи:

под Windows 9X/ME:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\explorer\Browser Helper Objects\{9C5875B8-93F3-429D-FF34-660B206D897A}\]

[HKEY_CLASSES_ROOT\CLSID\{9C5875B8-93F3-429D-FF34-660B206D897A}\InProcServer32\]
"ThreadingModel"="Apartment"

[HKEY_CLASSES_ROOT\CLSID\{9C5875B8-93F3-429D-FF34-660B206D897A}\]

[HKEY_CLASSES_ROOT\CLSID\{9C5875B8-93F3-429D-FF34-660B206D897A}\InProcServer32]
@="C:\\WINDOWS\\SYSTEM\\PERFORMENT217.DLL"


под Windows 2K/2K Server/XP:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{9C5875B8-93F3-429D-FF34-660B206D897A}\]

[HKEY_CLASSES_ROOT\CLSID\{9C5875B8-93F3-429D-FF34-660B206D897A}\InProcServer32\]
@="C:\\WINDOWS\\system32\\performent217.dll"
"ThreadingModel"="Apartment"

[HKEY_CLASSES_ROOT\CLSID\{9C5875B8-93F3-429D-FF34-660B206D897A}\]


2. Вредоносные действия.

При запуске вэб-броузера Internet Explorer троянец проверяет наличие активного подключения к сети Интернет. Если доступ к сети Интернет активен, то троянец расшифровывает из своего тела и вызывает на загрузку следующие ссылки (часть фрагментов ссылок по соображениям безопасности я заменил символом "%"):

http://bond%.com/hex/file.php?aid=002
http://allways.%.com/hex/001.exe
http://real%.com/hex/001.exe


С 1-го из указанных адресов троянец скачивает какой-то вредоносный EXE-файл, который не удалось обнаружить на данном вэб-ресурсе; со 2-го и 3-го адресов троянец скачивает и запускает на выполнение троянские программы семейства Trojan.SiteRunner.urlGen.
Повторные поиски обновленных файлов производятся троянцем через определенные промежутки времени. Процедура загрузки осуществляется через 53-й порт TCP/IP-протокола, а служебный отчет о произведенных загрузках сохраняется в следующем файле:

для Windows 9X/ME:

C:\WINDOWS\TEMP\kfsdfksldfk.fgi

для Windows 2K/2KServer/XP:

C:\Documents and Settings\%user%\Local Settings\Temp\kfsdfksldfk.fgi

, где %user% - имя пользовательского каталога текущего юзера.
Размер файла kfsdfksldfk.fgi всегда один и тот же - 160 байт, а его содержимое шифруется специальным крипт-кодом.


3. Прочее.

Под любой из Windows-систем троянец проявляется следующим образом: во-первых, он довольно громоздко подключает свои процедуры к функционалу вэб-броузера Internet Explorer, в результате чего при запуске пользователем данного поисковика промежуток времени между моментом запуска и выводом окна Internet Explorer на экран может достигать в зависимости от некоторых условий 10-20 секунд, что невозможно не заметить. Во-вторых, в случае успешной загрузки др. вредоносных программ троянец "выражает" свой успех звуковым эффектом, имитирующим поросячий визг. Данный звуковой трек имеет Riff Wave-формат (WAV-файл размером около 10 кб) и содержится в теле троянца в отдельной секции кода. Трек проигрывается прямо из тела троянца как звуковой эффект Windows Media, для чего он (троянец) подключается к системной библиотеке winmm.dll, используемой в среде Windows для воспроизведения различных sound-форматов (файлов).


4. Другие варианты троянца.

Кроме данного варианта троянца был обнаружен еще один - Trojan.Web-guide.performent011, который практически идентичен вышеописанной модификации. Этот вариант является более ранней версией, чем Trojan.Web-guide.performent217, и отличается от последней лишь следующими вещами:

- название файла троянца performent011.dll; размер и прочие параметры идентичны вышеописанному варианту;
- ключи, создаваемые в реестре, также аналогичны, только нужно учесть тот факт, что название файла не performent217.dll, а performent011.dll;
- загрузка файлов производится по таким ссылкам:

http://bond%.com/trap3/file.php?aid=002
http://allways.%.com/trap3/001.exe
http://real%.com/trap3/001.exe


С 1-го из указанных адресов троянец скачивает какой-то вредоносный EXE-файл, который не удалось обнаружить на данном вэб-ресурсе; со 2-го и 3-го адресов троянец скачивает и запускает на выполнение файл-дроппер 001.exe, содержащий вышеописанный варинт Trojan.Web-guide.performent217.

Все остальные вещи полностью идентичны варианту Trojan.Web-guide.performent217. Единственное, что не было установлено, - это путь, которым троянец performent011.dll попадает в компьютер.


5. Детектирование и удаление троянской программы.

Trojan.Web-guide.performent011,217 и загружаемые ими вредоносные программы антивирусы детектируют так:

Антивирус Kaspersky AntiVirus:
файл 001.exe (дроппер-программа): Trojan-Dropper.Win32.Small.aie
файл performent217.dll: Trojan-Downloader.Win32.Small.bux
файл performent011.dll: Trojan-Downloader.Win32.Druser.h
файл 001.exe (1-й из загружаемых): Trojan-Clicker.Win32.Agent.fv
файл 001.exe (2-й из загружаемых): Trojan-Clicker.Win32.Agent.fv

Антивирус DrWeb:
файл 001.exe (дроппер-программа): Trojan.DownLoader.5082
файл performent217.dll: Trojan.DownLoader.5082
файл performent011.dll: Trojan.DownLoader.4529
файл 001.exe (1-й из загружаемых): Trojan.Click.1230
файл 001.exe (2-й из загружаемых): Trojan.Click.1230

Антивирус BitDefender Professional:
файл 001.exe (дроппер-программа): Trojan.Dropper.Small.AIE
файл performent217.dll: Gen:Trojan.Heur.by5@X2juPwei (включен в антивирусную базу 13.05.2009)
файл performent011.dll: Trojan.StartPage.EC
файл 001.exe (1-й из загружаемых): Trojan.Clicker.Agent.FV
файл 001.exe (2-й из загружаемых): Trojan.Clicker.Agent.FV

Для удаления троянцев performent217.dll и performent011.dll рекомендуется удалить при помощи специализированных утилит все вышеперечисленные записи системного реестра, связанные с данными компонентами, после чего перезагрузить компьютер и удалить эти 2 файла с диска.


Исследование вредоносного кода и разработка описания: Бройде Герман (aka VirusHunter)
Дата создания: 10.11.2005
Дата внесения последних изменений: 13.05.2009
Автор описания: Бройде Герман (aka VirusHunter)


Rambler's Top100

0.00174307823181