VirusHunter предупреждает всех пользователей ПК о распространении в сети Интернет значительного количества вредоносных программ, представляющих собой упрощенные модификации троянских программ Trojan-Downloader.HackWeb.4577 и Trojan-Downloader.HackWeb.4809...


Предварительная информация.

В данной статье приведены описания 6-ти троянских программ класса "трояны-загрузчики", отнесенных мной к семейству Trojan-Downloader.HackWeb.small. Их код и функциональная часть очень сходны с вышеуказанными троянскими программами. Это дает мне основания полагать, что все эти "вредоносцы" написаны одним и тем же автором.
Отличительной особенностью каждого из данных 6-ти троянцев от вариантов HackWeb.4577 и HackWeb.4809 является отсутствие в их (6-ти троянцев) кодах процедур блокировки каких-либо системных служб. Также они не создают никаких ключей в разделе автозагрузки системного реестра для возможности своего автозапуска при каждом последующем старте ОС Windows, а запускаются на выполнение др. вредоносными программами. Кроме того, все они сжаты утилитой компрессии "FSG" версии 1.33, а не 2.0. У большинства из этих представителей семейства списки вэб-ресурсов, на которых они ищут др. вредоносные программы, зашифрованы несложным крипт-алгоритмом.
"По умолчанию" в тексте данного описания принимаются следующие вещи:

- название системного каталога - "WINDOWS";

- символом "%" в тексте обозначаются фрагменты, представляющие собой непостоянные величины, а какие-либо переменные, зависящие от каких-либо условий; в Интернет-ссылках, по которым троянцы вызывают на загрузку др. вредоносные программы, этим же значком я буду заменять фрагменты адресов, что делается в целях безопасного изложения информации о действиях "HackWeb.small";

- данные по детектированию троянцев группы "HackWeb.small" приведены на дату последних изменений, произведенных в тексте данного описания.


1. Trojan-Downloader.HackWeb.small-A

Загружается из Интернета, записывается на диск и в дальнейшем запускается на выполнение троянцем Trojan-Downloader.HackWeb.4577. Программа имеет размер 3264 байта; в декомпрессированном виде, в приближении к оригинальному, размер файла составил 24576 байт.
Копии программы записываются в следующие каталоги:

для Windows 9X/ME:

WINDOWS\SYSTEM\vxh8jkdq5.exe
[произвольный диск]:\Temp\5.qtdfmp

для Windows 2K/2K Server/XP:

WINDOWS\System32\vxh8jkdq5.exe
[произвольный диск]:\Temp\5.qtdfmp

Затем файл vxh8jkdq5.exe запускается на выполнение и остается активным в системной памяти вплоть до завершения работы Windows.
После своего запуска троянец сразу пытается связаться с нижеприведенными серверами, чтобы скачать с них на компьютер-жертву следующие троянские программы:

http://69.50.%.166/gdnOT2217.exe
http://vxiframe.%/adverts/progs/tibsuk.exe


Также троянец ищет еще один-единственный файл в следующих доменах:

txgascme.%
txifrevrl%
tgckoame.%


Этот файл и его копию троянец сохраняет в нижеприведенных системных каталогах под следующими названиями:

для Windows 9X/ME:

WINDOWS\SYSTEM\maxd1.exe
WINDOWS\SYSTEM\maxdd.game

для Windows 2K/2K Server/XP:

WINDOWS\System32\maxd1.exe
WINDOWS\System32\maxdd.game

После этого все загруженные EXE-файлы запускаются троянцем на выполнение.
Содержимое файлов мне неизвестно, т.к. первые две из указанных ссылок на данный момент неактивны, а файл maxd1.exe (maxdd.game) не был обнаружен на зараженной машине.
Кроме загрузки файлов троянец создает в системном реестре следующие 2 однотипных ключа:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\porn-host.org\]
"*"=dword:00000004

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\porn-host.org\]
"*"=dword:00000004


В результате этих записей, при попытках пользователя загрузить в своем вэб-броузере какую-либо ссылку во время работы в сети Интернет вызов будет автоматически передаваться адресу порно-сайта porn-host.org.

Троянский файл vxh8jkdq5.exe (5.qtdfmp) антивирусы детектируют так:

Антивирус Kaspersky AntiVirus: Trojan-Downloader.Win32.Agent.tx
Антивирус DrWeb: Trojan.DownLoader.4124
Антивирус BitDefender Professional: Generic.Malware.Yddld!.93B5C4B5 (декомпрессированный файл - Generic.Malware.Yddld!!.8366A361)


2. Trojan-Downloader.HackWeb.small-B

Загружается из Интернета, записывается на диск и в дальнейшем запускается на выполнение троянцем Trojan-Downloader.HackWeb.4577. Программа имеет размер 3376 байт; в декомпрессированном виде, в приближении к оригинальному, размер файла составил 28672 байта.
Копии программы записываются в следующие каталоги:

для Windows 9X/ME:

WINDOWS\SYSTEM\vxh8jkdq7.exe
[произвольный диск]:\Temp\7.qtdfmp

для Windows 2K/2K Server/XP:

WINDOWS\System32\vxh8jkdq7.exe
[произвольный диск]:\Temp\7.qtdfmp

Затем файл vxh8jkdq7.exe запускается на выполнение и остается активным в системной памяти вплоть до завершения работы Windows.
После своего запуска троянец сразу пытается связаться с нижеприведенными серверами, чтобы скачать с них на компьютер-жертву следующие троянские программы:

http://vxiframe.%/vxgame/vx.php
http://vxiframe.%/vxgame/zgame5.exe
http://vxiframe.%/vxgame/zgame4.exe
http://vxiframe.%/vxgame/zgame3.exe
http://vxiframe.%/vxgame/zgame2.exe
http://vxiframe.%/vxgame/zgame1.exe


Также троянец ищет файлы и на второй группе сайтов:

zviframe.%
http://txgascme.%
http://txifrevrl%
http://tgckoame.%


Обнаруженные файлы из первой группы скачиваются в нижеуказанные системные подкаталоги, после чего троянец заменяет фрагменты "z" в их именах на "vx", а название файла vx.php - на vxgame6.exe. Загружаемые файлы второй группы также сохраняются в системные подкаталоги под названиями вида "vx*.game":

для Windows 9X/ME:

WINDOWS\SYSTEM\vxgame1.exe
WINDOWS\SYSTEM\vxgame2.exe
...
WINDOWS\SYSTEM\vxgame6.exe

WINDOWS\SYSTEM\vx1.game
WINDOWS\SYSTEM\vx2.game
...
WINDOWS\SYSTEM\vx6.game

для Windows 2K/2K Server/XP:

WINDOWS\System32\vxgame1.exe
WINDOWS\System32\vxgame2.exe
...
WINDOWS\System32\vxgame6.exe

WINDOWS\System32\vx1.game
WINDOWS\System32\vx2.game
...
WINDOWS\System32\vx6.game

После этого все загруженные файлы с расширением "EXE" запускаются на выполнение.
Файлы представляют собой следующие троянские программы:

vxgame1.exe - троянская программа-дроппер, извлекающая из своего тела и устанавливающая на машину-жертву др. троянскую программу. Файл-дроппер сжат утилитой компрессии "FSG" версии 1.33 и имеет размер 11136 байт; детально его код не изучался;
vxgame2.exe - какая-то программа размером 7678 байт, зашифрованная крипт-утилитой "YodaCrypt"; детально ее код не изучался;
vxgame3.exe - троянская программа Trojan-Downloader.LittleTroy.1665;
vxgame4.exe - программа, сжатая утилитой компрессии "FSG" версии 1.33 и имеющая размер 16864 байта, которая что-то ищет/отправляет в Интернет; детально ее код не изучался;
vxgame6.exe - троянская программа, загружающая через сеть Интернет и устанавливающая на пораженный компьютер несколько др. троянских программ (файл троянца сжат утилитой компрессии "UPX" версии 1.24 и имеет размер 8870 байт; детально его код не изучался);
vx2.game - какая-то программа размером 7678 байт, зашифрованная крипт-утилитой "YodaCrypt"; детально ее код не изучался.

Остальные файлы не были найдены.
Троянский файл vxh8jkdq7.exe (7.qtdfmp) и загружаемые им вредоносные программы антивирусы детектируют так:

Антивирус Kaspersky AntiVirus:
файлы vxh8jkdq7.exe и 7.qtdfmp: Trojan-Downloader.Win32.Small.atl
файл vxgame1.exe: Trojan-Dropper.Win32.Agent.ta
файл vxgame2.exe: Trojan.Win32.Crypt.l
файл vxgame3.exe: Trojan-Downloader.Win32.Small.bho
файл vxgame4.exe: Trojan.Win32.Spabot.r
файл vxgame6.exe: Trojan.Win32.Dialer.mi
файл vx2.game: Trojan.Win32.Crypt.l

Антивирус DrWeb:
файлы vxh8jkdq7.exe и 7.qtdfmp: Trojan.DownLoader.4374
файл vxgame1.exe: Trojan.Proxy.442
файл vxgame2.exe: Trojan.DownLoader.3988
файл vxgame3.exe: Trojan.DownLoader.3870
файл vxgame4.exe: Trojan.Spambot
файл vxgame6.exe: Trojan.DownLoader.4378
файл vx2.game: Trojan.DownLoader.3988

Антивирус BitDefender Professional:
файл vxh8jkdq7.exe и 7.qtdfmp: Trojan.Vixup.B
файл vxgame1.exe: Trojan.Dropper.Win32.Agent.TA (декомпрессированный файл - Dropped:Trojan.Proxy.Win32.Small.CT)
файл vxgame2.exe: Trojan.Downloader.Small.BKJ
файл vxgame3.exe: Generic.Malware.dld!!.E19697A3 (декомпрессированный файл - Generic.Malware.dld!!.1F75253E)
файл vxgame4.exe: Trojan.Win32.Spabot.R
файл vxgame6.exe: Trojan.Downloader.Harnig.B
файл vx2.game: Trojan.Downloader.3988.B


3. Trojan-Downloader.HackWeb.small-C

Загружается из Интернета, записывается на диск и в дальнейшем запускается на выполнение троянцем Trojan-Downloader.HackWeb.4809. Программа имеет размер 3280 байт; в декомпрессированном виде, в приближении к оригинальному, размер файла составил 24576 байт.
Весь функционал троянца абсолютно идентичен вышеописанному варианту Trojan-Downloader.HackWeb.small-A.
Троянский файл vxh8jkdq5.exe (5.qtdfmp) антивирусы детектируют так:

Антивирус Kaspersky AntiVirus: Trojan-Downloader.Win32.Small.bon
Антивирус DrWeb: Trojan.DownLoader.4526
Антивирус BitDefender Professional: Trojan.Downloader.Small.IS (декомпрессированный файл - Generic.Malware.Yddld!!.27389E87)


4. Trojan-Downloader.HackWeb.small-D

Загружается из Интернета, записывается на диск и в дальнейшем запускается на выполнение троянцем Trojan-Downloader.HackWeb.4577. Программа имеет размер 3216 байт; в декомпрессированном виде, в приближении к оригинальному, размер файла составил 24576 байт.
Копии программы записываются в следующие каталоги:

для Windows 9X/ME:

WINDOWS\SYSTEM\vxh8jkdq6.exe
[произвольный диск]:\Temp\6.qtdfmp

для Windows 2K/2K Server/XP:

WINDOWS\System32\vxh8jkdq6.exe
[произвольный диск]:\Temp\6.qtdfmp

Затем файл vxh8jkdq6.exe запускается на выполнение и остается активным в системной памяти вплоть до завершения работы Windows.
После своего запуска троянец сразу пытается связаться с серверами, список которых полностью идентичен второй группе серверов, указанной в вышеописанной модификации Trojan-Downloader.HackWeb.small-C. В доменах этих серверов троянец ищет с целью загрузки на пораженный компьютер следующих файлов:

vx.php
au.exe
de.exe
ztool3.exe
ztool2.exe
ztool1.exe


Обнаруженные файлы скачиваются в троянцем в нижеуказанные системные подкаталоги, после чего он заменяет их названия на следующие:

vx.php -> vxt3.game
au.exe
-> vxt2.game
de.exe
-> vxt1.game
ztool3.exe
-> vxgamet3.exe
ztool2.exe
-> vxgamet2.exe
ztool1.exe
-> vxgamet1.exe

Файлы располагаются в следующих поддиректориях системы:

для Windows 9X/ME:

WINDOWS\SYSTEM\vxgamet1.exe
WINDOWS\SYSTEM\vxgamet2.exe
WINDOWS\SYSTEM\vxgamet3.exe
WINDOWS\SYSTEM\vxt1.game
WINDOWS\SYSTEM\vxt2.game

для Windows 2K/2K Server/XP:

WINDOWS\System32\vxgamet1.exe
WINDOWS\System32\vxgamet2.exe
WINDOWS\System32\vxgamet3.exe
WINDOWS\System32\vxt1.game
WINDOWS\System32\vxt2.game

После этого все загруженные файлы с расширением "EXE" запускаются на выполнение.
Файлы представляют собой следующие троянские программы:

vxgamet1.exe и vxgamet3.exe - одна и та же троянская программа, загружающая через сеть Интернет и устанавливающая на пораженный компьютер несколько др. троянских программ (файл троянца сжат утилитой компрессии "FSG" версии 1.33 и имеет размер 2816 байт; детально его код не изучался).

Остальные файлы не были найдены.
Троянский файл vxh8jkdq6.exe (6.qtdfmp) и загружаемые им вредоносные программы антивирусы детектируют так:

Антивирус Kaspersky AntiVirus:
файлы vxh8jkdq6.exe и 6.qtdfmp: Trojan-Downloader.Win32.Small.bpe
файлы vxgamet1.exe и vxgamet3.exe: Trojan-Downloader.Win32.Tibs.s

Антивирус DrWeb:
файлы vxh8jkdq6.exe и 6.qtdfmp: Trojan.DownLoader.7772
файлы vxgamet1.exe и vxgamet3.exe: Trojan.DownLoader.4720

Антивирус BitDefender Professional:
файлы vxh8jkdq6.exe и 6.qtdfmp: DeepScan:Generic.Malware.dld!!.97315459 (декомпрессированный файл - Generic.Malware.dld!!.83465982)
файлы vxgamet1.exe и vxgamet3.exe: Generic.Malware.dld!!.1F8ABA0E (декомпрессированный файл - Generic.Malware.dld!!.5F3AD7EC)


5. Trojan-Downloader.HackWeb.small-E

Загружается из Интернета, записывается на диск и в дальнейшем запускается на выполнение троянцем Trojan-Downloader.HackWeb.4809. Программа имеет размер 3072 байта; в декомпрессированном виде, в приближении к оригинальному, размер файла составил 24576 байт.
Весь функционал троянца полностью идентичен вышеописанному варианту Trojan-Downloader.HackWeb.small-D. Также для поиска др. вредоносных программ в код троянца добавлен вэб-ресурс 85.255.%.242.
Троянский файл vxh8jkdq6.exe (6.qtdfmp) антивирусы детектируют так (краткий обзор и список детектирований загружаемых троянцем вредоносных программ см. выше в описании варианта HackWeb.small-D):

Антивирус Kaspersky AntiVirus: Trojan-Downloader.Win32.Tibs.s
Антивирус DrWeb: Trojan.DownLoader.4716
Антивирус BitDefender Professional: Trojan.Downloader.Small.AGE (декомпрессированный файл - Generic.Malware.dld!!.964360CF)


6. Trojan-Downloader.HackWeb.small-F

Загружается из Интернета, записывается на диск и в дальнейшем запускается на выполнение троянцем Trojan-Downloader.HackWeb.4809. Программа имеет размер 3376 байт; в декомпрессированном виде, в приближении к оригинальному, размер файла составил 28672 байта.
Весь функционал троянца практически полностью идентичен вышеописанному варианту Trojan-Downloader.HackWeb.small-B. Также для поиска др. вредоносных программ в код троянца добавлен вэб-ресурс 85.255.%.242. Кроме того, в коде присутствуют несущественные технические изменения.
Список вирусных детектирований троянца см. выше в описании варианта Trojan-Downloader.HackWeb.small-E. Детектирования загружаемых им вредоносных программ, а также краткий обзор этих троянцев см. выше в описании варианта HackWeb.small-B.


Исследование вредоносного кода и разработка описания: Бройде Герман (aka VirusHunter)
Дата создания: 09.12.2005
Дата внесения последних изменений: 30.05.2006
Автор описания: Бройде Герман (aka VirusHunter)


Rambler's Top100

0.00447797775269