VirusHunter предупреждает всех пользователей ПК о распространении в сети Интернет многокомпонентной троянской программы Trojan.CoulombGroup.A, устанавливающей себя на компьютеры при посещении различных Web-ресурсов. Кроме того, компоненты программы устанавливают несанкционированное соединение с нескольким серверами сомнительного характера и скрытно загружают в машину др. вредоносные программы, среди которых имеют место и потенциально опасные класса "PornDialers" - программы автодозвона на платные порно-ресурсы...


1. Инсталляция в систему.

Троянская программа Trojan.CoulombGroup.A поражает компьютеры под управлением ОС Windows различных версий. Принцип заражения компьютера практически идентичен описанному в статье о троянском семействе Trojan-Downloader.Dyfuca. В некоторые Интернет-страницы встроены специальные скрипт-программы (обычно на языке Java Script) небольшого размера, которые при запуске таких страниц скрытно устанавливают на компьютер-жертву и запускают на выполнение произвольные вредоносные файлы, ссылки на которые содержатся в коде скрипт-программы. Эта процедура обусловлена некоторыми уязвимостями, имеющими место в обработчиках Java-скриптов под различными версиями ОС Windows.
Были обнаружены несколько страниц, которые содержат вредоносный скрипт, загружающий троянскую программу Trojan.CoulombGroup.A; ниже приведен их список (по соображениям безопасности часть фрагментов доменов страниц заменена символом "%"):

http://%cracks.com/
http://www.%serial.ru/spider/


При загрузке инфицированной страницы в машину скрытно загружается и запускается на выполнение первый компонент троянской группы Trojan.CoulombGroup.A - файл 243461.exe, представляющий собой программу-мастера, скачивающего и запускающего на пораженном компьютере остальные компоненты вредоносной программы. Данный файл, как и др. компоненты троянца, написан на языке Microsoft Visual C, а его файл сжат утилитой компрессии "UPX" версии 1.23 и имеет размер 4096 байт (исходный размер в декомпрессированном виде составляет 5632 байта). Загружается в машину с url-ссылки

http://217.%.66.1/del/243461.exe

и вне зависимости от версии Windows устанавливается в нижеприведенный скрытый подкаталог системы:

%windir%\Downloaded Program Files\243461.exe

, где %windir% - название системного каталога ОС Windows.
Файл 243461.exe является программой одноразового действия и служит лишь для загрузки и запуска остальных стратегически важных компонентов программы, поэтому никаких ключей в реестре он не создает. Будучи запущенным, он записывает EXE-файл нулевого размера ("пустышку") в каталог временных файлов системы/текущего пользователя:

для Windows 9X/ME:

%windir%\TEMP\dia%%.exe

для Windows 2K/2K Server/XP:

Documents and Settings\%user%\Local Settings\TEMP\dia%%.exe

, где %user% - имя текущего пользователя, а в качестве значения, условно обозначенного переменной %%, троянец дописывает 2-х байтное значение, взятое из таблицы ASCII -значений и представляющее собой 2 символа - произвольную комбинацию заглавных латинских букв от A до F и цифр от 0 до 9. Например:

dia7E.exe
dia9A.exe
dia80.exe
diaAD.exe

и т.п.

Затем на экран выводится следующее окно с индикатором прохождения процесса загрузки прочих компонентов Trojan.CoulombGroup.A:


При этом 243461.exe пытается установить соединение с сервером

http://217.%.66.1/del/

для поиска и загрузки в компьютер нескольких вредоносных программ. Если соединение с сервером не удалось, то 243461.exe закрывает индикаторное окно и завершает свою работу, представляя в дальнейшем не более чем файловый мусор. Если же соединение было установлено, то троянец запускает локальное соединение на 8081-м порту TCP/IP с целью "общения" с пользователем - в случае каких-либо технических проблем по ходу загрузки в машину др. вредоносных программ он выдает на экран различные информационные сообщения, например:

The requested file does not exist. Please check and try again.

Также в зависимости от уровня загрузки скачиваемых файлов в вышеуказанном окне инициализации меняется количество процентов, а также периодично меняется текст (включая и заголовок окна) на следующий:

Initializing Installer...

Requesting Installer...

Completed

Accessing Please wait...


243461.exe ищет на сервере и скачивает с него следующие файлы:

http://217.%.66.1/del/*.exe
http://217.%.66.1/del/comload.dll
http://217.%.66.1/del/cmb_*.*


Первый EXE-файл представляет собой обновленный вариант компонента 243461.exe и в случае обнаружения он записывается поверх создаваемого файла-пустышки dia%%.exe и запускается на выполнение (в настоящее время полностью соответствует варианту 243461.exe, поэтому не загружается последним). Два др. файла - comload.dll и cmb_243461.exe, троянец после загрузки также запускает на выполнение. Их описания приведены ниже.
По окончании загрузки файлов компонент 243461.exe представляет собой не более чем файловый мусор.


2. Компонент comload.dll.

Файл comload.dll имеет размер 32720 байт (исходный размер в декомпрессированном виде составляет 62416 байт). Представляет собой динамическую библиотеку, устанавливаемую в систему как спец. модуль системного приложения iexplore.exe (стандартный Интернет-броузер Internet Explorer). Файл также устанавливается в каталог

%windir%\Downloaded Program Files\comload.dll

При старте системы троянец проверяет активность подключения к Интернету. При этом он использует спец. процедуры прямого доступа к памяти, в результате чего его деятельность осуществляется в т.н. "фоновом" режиме и неприметна в системе.
Для того, чтобы зарегистрировать себя в системе и получать управление при каждом старте Windows, а также загружаться как компонент Internet Explorer'а, троянец создает в реестре новый раздел ключей HKEY_CLASSES_ROOT, а также модифицирует значения раздела HKEY_LOCAL_MACHINE. Вот полный список записей, которые создаются троянцем в регистрах системы:

[HKEY_CLASSES_ROOT\Comload.loader\CLSID]
@="{AD7FAFB0-16D6-40C3-AF27-585D6E6453FD}"

[HKEY_CLASSES_ROOT\Comload.loader.1\CLSID]
@="{AD7FAFB0-16D6-40C3-AF27-585D6E6453FD}"

[HKEY_CLASSES_ROOT\CLSID\{AD7FAFB0-16D6-40C3-AF27-585D6E6453FD}\]
@="loader Class"

[HKEY_CLASSES_ROOT\CLSID\{AD7FAFB0-16D6-40C3-AF27-585D6E6453FD}\Control\]

[HKEY_CLASSES_ROOT\CLSID\{AD7FAFB0-16D6-40C3-AF27-585D6E6453FD}\InprocServer32]
@="%windir%\\DOWNLO~1\\comload.dll"
"ThreadingModel"="Apartment"

[HKEY_CLASSES_ROOT\CLSID\{AD7FAFB0-16D6-40C3-AF27-585D6E6453FD}\Insertable\]

[HKEY_CLASSES_ROOT\CLSID\{AD7FAFB0-16D6-40C3-AF27-585D6E6453FD}\MiscStatus\]
@="0"

[HKEY_CLASSES_ROOT\CLSID\{AD7FAFB0-16D6-40C3-AF27-585D6E6453FD}\MiscStatus\1\]
@="131473"

[HKEY_CLASSES_ROOT\CLSID\{AD7FAFB0-16D6-40C3-AF27-585D6E6453FD}\ProgID\]
@="Comload.loader.1"

[HKEY_CLASSES_ROOT\CLSID\{AD7FAFB0-16D6-40C3-AF27-585D6E6453FD}\Programmable\]

[HKEY_CLASSES_ROOT\CLSID\{AD7FAFB0-16D6-40C3-AF27-585D6E6453FD}\ToolboxBitmap32]
@="%windir%\\DOWNLO~1\\comload.dll, 101"

[HKEY_CLASSES_ROOT\CLSID\{AD7FAFB0-16D6-40C3-AF27-585D6E6453FD}\ToolboxBitmap32\]

[HKEY_CLASSES_ROOT\CLSID\{AD7FAFB0-16D6-40C3-AF27-585D6E6453FD}\TypeLib]
@="{266F948A-3DEE-4270-8F55-E79ACCD569FA}"

[HKEY_CLASSES_ROOT\CLSID\{AD7FAFB0-16D6-40C3-AF27-585D6E6453FD}\TypeLib\]

[HKEY_CLASSES_ROOT\CLSID\{AD7FAFB0-16D6-40C3-AF27-585D6E6453FD}\VersionIndependentProgID\]
@="Comload.loader"

[HKEY_CLASSES_ROOT\CLSID\{AD7FAFB0-16D6-40C3-AF27-585D6E6453FD}\Version\]
@="1.0"

[HKEY_CLASSES_ROOT\dctl\]
@="URL:DCTL Protocol"
"URL Protocol"=""

[HKEY_CLASSES_ROOT\dctl\shell\]

[HKEY_CLASSES_ROOT\dctl\shell\open\]

[HKEY_CLASSES_ROOT\dctl\shell\open\command\]
@="iexplore.exe -nohome"

[HKEY_CLASSES_ROOT\dctl\shell\open\ddeexec\]
@="\"http://127.0.0.1:8089\",,-1,0,,,,"
"NoActivateHandler"=""

[HKEY_CLASSES_ROOT\dctl\shell\open\ddeexec\Application\]
@="IExplore"

[HKEY_CLASSES_ROOT\dctl\shell\open\ddeexec\Topic\]
@="WWW_OpenURL"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{9E1089BC-1AE8-4685-8D77-6721E5C318A8}\Contains\Files]
"%windir%\\DOWNLO~1\\comload.dll"=""
(для Windows 9X/ME)
"%windir%\\Downloaded Program Files\\comload.dll"="" (для Windows 2K/XP)

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{9E1089BC-1AE8-4685-8D77-6721E5C318A8}\DownloadInformation]
"CODEBASE"="http://217.%.66.16/comload.dll"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs]
"%windir%\\DOWNLO~1\\comload.dll"=dword:00000001
(для Windows 9X/ME)
"%windir%\\Downloaded Program Files\\comload.dll"=dword:00000001 (для Windows 2K/XP)

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage\%windir%/DOWNLO~1/comload.dll\] (для Windows 9X/ME)
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage\%windir%/Downloaded Program Files/comload.dll\] (для Windows 2K/XP)
".Owner"="{9E1089BC-1AE8-4685-8D77-6721E5C318A8}"
"{9E1089BC-1AE8-4685-8D77-6721E5C318A8}"=""

[HKEY_CLASSES_ROOT\CLSID\{9E1089BC-1AE8-4685-8D77-6721E5C318A8}\InprocServer32]
@="%windir%\\DOWNLO~1\\comload.dll"

[HKEY_CLASSES_ROOT\CLSID\{9E1089BC-1AE8-4685-8D77-6721E5C318A8}\ToolboxBitmap32]
@="%windir%\\DOWNLO~1\\comload.dll, 103"

[HKEY_CLASSES_ROOT\CLSID\{9E1089BC-1AE8-4685-8D77-6721E5C318A8}\TypeLib]
@="{266F948A-3DEE-4270-8F55-E79ACCD569FA}"

[HKEY_CLASSES_ROOT\Interface\{19E91D82-7AD7-419F-866A-58C122DB1459}\TypeLib]
@="{266F948A-3DEE-4270-8F55-E79ACCD569FA}"

[HKEY_CLASSES_ROOT\Interface\{F5F779A9-24E5-4BCD-9AE5-6313D4B5AC24}\TypeLib]
@="{266F948A-3DEE-4270-8F55-E79ACCD569FA}"

[HKEY_CLASSES_ROOT\TypeLib\{266F948A-3DEE-4270-8F55-E79ACCD569FA}\]

[HKEY_CLASSES_ROOT\TypeLib\{266F948A-3DEE-4270-8F55-E79ACCD569FA}\1.0\]
@="COMLOAD 1.0 Type Library"

[HKEY_CLASSES_ROOT\TypeLib\{266F948A-3DEE-4270-8F55-E79ACCD569FA}\1.0\0\]

[HKEY_CLASSES_ROOT\TypeLib\{266F948A-3DEE-4270-8F55-E79ACCD569FA}\1.0\0\win32]
@="%windir%\\DOWNLO~1\\comload.dll"
(для Windows 9X/ME)
@="%windir%\\Downloaded Program Files\\comload.dll" (для Windows 2K/XP)

[HKEY_CLASSES_ROOT\TypeLib\{266F948A-3DEE-4270-8F55-E79ACCD569FA}\1.0\0\win32\]

[HKEY_CLASSES_ROOT\TypeLib\{266F948A-3DEE-4270-8F55-E79ACCD569FA}\1.0\FLAGS\]
@="0"

[HKEY_CLASSES_ROOT\TypeLib\{266F948A-3DEE-4270-8F55-E79ACCD569FA}\1.0\HELPDIR\]
@="%windir%\\DOWNLO~1\\"
(для Windows 9X/ME)
@="%windir%\\Downloaded Program Files\\" (для Windows 2K/XP)

При подключении компьютера к сети Интернет троянец скрытно пытается скачать в машину и запустить на выполнение троянский файл dload.exe, который сохраняет как

%windir%\Downloaded Program Files\dload.exe

Данный файл троянец ищет по следующим url-ссылкам:

http://sold.%.com/dload.exe
http://minidiallers.%.com/dload.exe
http://dload.%.com/dload.exe
http://diallers.%.com/dload.exe
http://217.%.66.16/dload.exe
http://217.%.64.137/dload.exe
http://217.%.66.1/dload.exe


Данный файл представляет собой один из многочисленных вариантов программ автодозвона на платные Интернет-ресурсы, однако на данный момент ни одна из вышеперечисленных ссылок не работает.
Если файл dload.exe был загружен в компьютер, то для возможности его автозапуска при каждом последующем страте системы, а также для хранения некоторой технической информации, comload.dll создает в ключах реестра следующий подраздел:

[HKEY_CURRENT_USER\Software\Coulomb\FParam\]

Кроме загрузки данного файла троянец пытается искать и др. вредоносные программы. Поиск ведется в доменах следующих серверов:

ccard.%charge.com
secure.%charge.com
217.%.65.46


Во время поиска файлов троянец также открывает 16666-й порт TCP/IP для связи с сервером

217.%.66.16

Туда троянец передает запросы и ждет ответы для возможности доступа к удаленным ресурсам с целью поиска на них файлов. Данные обмена имеют вид различных сообщений, в частности следующего вида:

Attempt blocked.

Content Access Plugin


Также троянец ищет свои обновленные версии. Если обновление найдено, то оно загружается в машину и записывается как

%windir%\Downloaded Program Files\%name%.dll

, где %name% - имя обновленного файла троянца. При этом в реестр добавляются следующие записи:

[HKEY_CLASSES_ROOT\Comload.loader2\CLSID]
@="{9E1089BC-1AE8-4685-8D77-6721E5C318A8}"

[HKEY_CLASSES_ROOT\Comload.loader2.1\CLSID]
@="{9E1089BC-1AE8-4685-8D77-6721E5C318A8}"

[HKEY_CLASSES_ROOT\CLSID\{9E1089BC-1AE8-4685-8D77-6721E5C318A8}\]
@="loader2 Class"

[HKEY_CLASSES_ROOT\CLSID\{9E1089BC-1AE8-4685-8D77-6721E5C318A8}\Control\]

[HKEY_CLASSES_ROOT\CLSID\{9E1089BC-1AE8-4685-8D77-6721E5C318A8}\InprocServer32]
@="%windir%\\DOWNLO~1\\%name%.dll"
"ThreadingModel"="Apartment"

[HKEY_CLASSES_ROOT\CLSID\{9E1089BC-1AE8-4685-8D77-6721E5C318A8}\MiscStatus\]
@="0"

[HKEY_CLASSES_ROOT\CLSID\{9E1089BC-1AE8-4685-8D77-6721E5C318A8}\MiscStatus\1\]
@="132497"

[HKEY_CLASSES_ROOT\CLSID\{9E1089BC-1AE8-4685-8D77-6721E5C318A8}\ProgID\]
@="Comload.loader2.1"

[HKEY_CLASSES_ROOT\CLSID\{9E1089BC-1AE8-4685-8D77-6721E5C318A8}\Programmable\]

[HKEY_CLASSES_ROOT\CLSID\{9E1089BC-1AE8-4685-8D77-6721E5C318A8}\VersionIndependentProgID\]
@="Comload.loader2"

[HKEY_CLASSES_ROOT\CLSID\{9E1089BC-1AE8-4685-8D77-6721E5C318A8}\Version\]
@="1.0"


Т.о., дальнейшее управление при перезапусках системы будут получать и старый, и новый файлы троянца.
Чтобы повторно не загружать скачанные ранее файлы, троянец сохраняет листинг url-ссылок, по которым были обнаружены и скачаны последние, в виде значений в вышеуказанном ключе

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{9E1089BC-1AE8-4685-8D77-6721E5C318A8}\DownloadInformation]

При поиске и загрузке файлов троянец устанавливает локальное соединение с компьютером-жертвой на 8089-м порту TCP/IP для показа пользователю каких-то сообщений (?) об ошибках, если таковые будут иметь место.
Сервера, к которым обращается троянец, являются составляющими большого портала платных порнографических ресурсов.


3. Компонент cmb_243461.exe.

Файл cmb_243461.exe имеет размер 131584 байта (исходный размер в декомпрессированном виде составляет 303104 байта). Представляет собой порнозвонилку (PornDialer) - программу автодозвона на платные порнографические Интернет-ресурсы. Изначально местоположением файла после его скачивания является уже известный каталог

%windir%\Downloaded Program Files\cmb_243461.exe

После запуска программа копирует себя в один из нижеприведенных каталогов под следующим названием:

для Windows 9X/ME:

%windir%\Рабочий стол\Girls.exe

для Windows 2K/2K Server/XP:

Documents and Settings\%user%\Рабочий стол\Girls.exe

Процесс cmb_243461.exe остается активным вплоть до завершения работы системы, а после ее первой перезагрузки данный файл представляет собой не более чем файловый мусор.
Файл Girls.exe находится на Рабочем столе текущего пользователя и сможет получить управление только в том случае, если пользователь собственноручно запустит его. Иконка Girls.exe выглядит следующим образом:


Программа регистрируется в системе одновременно и как программный софт под названием "Girls" (в списке установленного в системе программного обеспечения), и как сервис под названием "Content Access Plugin" (в ключах деинсталляции). Для регистрации программы и возможности ее последующей деинсталляции по желанию пользователя в реестре создаются следующие записи:

[HKEY_CURRENT_USER\Software\Coulomb\]

[HKEY_CURRENT_USER\Software\Coulomb]
"Location"="GB"


, а также:

для Windows 9X/ME:

[HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\ShellNoRoam\MUICache]
"%windir%\\Рабочий стол\\Girls.exe"="Content Access Plugin"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Girls]
"DisplayName"="Girls"
"UninstallString"="\"%windir%\\Рабочий стол\\Girls.exe\" -remove"
"DisplayIcon"="\"%windir%\\Рабочий стол\\Girls.exe\""


для Windows 2K/2K Server/XP:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache]
"Documents and Settings\\%user%\\Рабочий стол\\Girls.exe"="Content Access Plugin"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Girls]
"DisplayName"="Girls"
"UninstallString"="\"Documents and Settings\\%user%\\Рабочий стол\\Girls.exe\" -remove"
"DisplayIcon"="\"Documents and Settings\\%user%\\Рабочий стол\\Girls.exe\""


Кроме того, вне зависимости от версии ОС Windows, создаются и следующие ключи реестра, предназначенные для хранения служебных данных и параметров программы:

[HKEY_CURRENT_USER\Software\Coulomb\Girls]
"Options"="['modem', 'lan']"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\Girls]
"SlowInfoCache"=hex:28,02,00,00,00,00,00,00,FF,FF,FF,FF,FF,FF,FF,FF,00,00,00,00,00,00,00,00,FF,FF,\
FF,FF,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
00
"Changed"=dword:00000000


Некоторые значения в указанных ключах хранятся в форме Hex-данных. Кроме того, все созданные программой подразделы ключей, названия которых заканчиваются на :Girls], дублируются. В конец названия продублированных ключей программа добавляет символ "\", например:

[HKEY_CURRENT_USER\Software\Coulomb\Girls] (1-й вариант ключа)
"Options"="['modem', 'lan']"

[HKEY_CURRENT_USER\Software\Coulomb\Girls\]
(продублированный вариант ключа)
"Options"="['modem', 'lan']"

и т.д.

Если впоследствии пользователь хочет деинсталлировать программу "Girls" через системное меню "Установка и удаление программ", то на экран выдается сообщение вида

Are you sure you want to uninstall this program?

, и в случае утвердительного ответа программа удаляет из реестра все созданные ею ключи, за исключением двух из предназначенных для хранения служебных данных и настроек параметров. При этом программа пытается соединиться со страницей

http://217.%.66.1/dlrdir.html

для передачи и сохранения там технической информации о своей деинсталляции. На данной странице программа сохраняет лог с указанными в нем датой и временем, когда была произведена деинсталляция, и некоторыми др. техническими данными. Для этой процедуры программа использует возможности системной библиотеки TAPI32.DLL. Также в корне диска C: создается специальный файл 243461.bat (написан на Batch-скрипте и в зависимости от версии Windows имеет размер порядка 100 байт), содержащий процедуру удаления файла Girls.exe с последующим удалением самого себя. Поскольку файл Girls.exe на момент процедуры деинсталляции загружен в память и его удаление невозможно, программа записывает ссылку на вспомогательный 243461.bat в следующий ключ автозапуска системного реестра:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"Girls"="C:\\243461.bat"


Т.о., после первого перезапуска системы файл 243461.bat должен последовательно удалить Girls.exe, а затем и себя. Однако данная процедура сработает корректно только в том случае, если на машине пользователя установлена ОС Windows 2K или выше и при этом она имеет некириллический интерфейс, т.е. не русскоязычный, а, например, англоязычный. Связано это с тем, что процедура удаления файла Girls.exe не может распознать кириллическое имя папки "Рабочий стол". Данная ошибка связана с неправильной записью кириллической кодировки в файле 243461.bat. В результате он удалит только себя, а файл Girls.exe пользователю придется удалять вручную. Кроме того, ни файл Girls.exe, ни 243461.bat не будут удалены в том случае, если на машине установлена версия системы 9X или ME. Это связано с тем, что формат командной строки в этих версиях Windows для процедуры, записанной в файле 243461.bat, имеет опциональные отличия и система просто вернет при запуске 243461.bat сообщение об ошибке вида "Файл не найден или команда задана неправильно".
Как уже было сказано, cmb_243461.exe (Girls.exe) является программой автодозвона на платные порно-сервера. Если машина подключена к Интернету и порнозвонилка запускается впервые, она открывает 24687-й порт TCP/IP для установки соединения с сервером

217.%.64.1

При установке соединения программа также открывает 2 локальных порта: 8081-й и один случайный в диапазоне от 1040-го до 1070-го. На этих портах открывает окна Internet Explorer'а и загружает в них 2 HTML-страницы, содержащиеся в ее (программы) теле. Страницы содержат графический интерфейс программы с функциональными кнопками, а также эротическими картинками для соблазнения пользователя, например:



Также открывается страница

http://217.%.66.16/getpin.php?

для регистрации и входа на платные порно-ресурсы:


Программа определяет тип подключения Вашего компьютера к сети Интернет. Если подключение производится через такие соединения, как, например, LAN-, ADSL-, VPN- или др. подключения локального типа, то программа соединяется с одной из регистрационных страниц, на которой пользователь может выбрать одну из следующих форм оплаты за посещение приватного порно-ресурса: Credit Card, Debit Card или денежно-платежную систему PayPal, указав при этом в спец. предложенной анкете свои реквизиты и PIN-код карточки, с которой будет производиться оплата.
Также программа загружает из своего тела страницу с программным соглашением для тех пользователей, которые подключаются к сети Интернет через DialUp-соединение (телефонную линию). Интерфейс соглашения содержится в коде программы примерно на 10-ти языках. Язык показываемого соглашения зависит от интерфейса Windows-системы, установленной на компьютере. Ниже приведен фрагмент текста соглашения:

You must read, understand and agree to the following terms before using this service.

This service is only available to users of at least 18 years of age, and you must pay the phone bill associated with this computer's modem, or have permission from the bill payer. We will reconnect you modem to either a domestic or an international premium rate number. You understand that all information, data, text, software, music, sound, photographs, graphics, video, messages or other materials ('Content'), whether publicly posted or privately transmitted, are the sole responsibility of the person from which such Content originated.

Coulomb is not responsible for any material you may view using this service. The billing company does not control the Content posted via the Service and, as such, does not guarantee the accuracy, integrity or quality of such Content. You understand that by using the Service, you may be exposed to Content that is offensive, indecent or objectionable. Under no circumstances will the billing company owner be liable in any way for any Content, including, but not limited to, for any errors or omissions in any Content, or for any loss or damage of any kind incurred as a result of the use of any Content posted, emailed or otherwise transmitted via the Service. WARNING: By using this software, your modem will dial an INTERNATIONAL LONG-DISTANCE TELEPHONE CALL OR A DOMESTIC PREMIUM RATE TELEPHONE NUMBER.

NO CREDIT CARD IS REQUIRED TO ACCESS THIS SERVICE, YOU WILL ONLY BE CHARGED ON A MINUTE BY MINUTE BASIS ON YOUR PHONE BILL FOR AN INTERNATIONAL LONG-DISTANCE CALL OR A DOMESTIC PREMIUM RATE CALL. Your phone bill will reflect charges to the terminating point - whether a domestic premium billing platform or an international long distance - on a per minute basis for the cost of the call. Once connected, your computer modem will not terminate this international long distance or domestic premium billing telephone connection unless and until: You terminate the connection by selecting the modem symbol, located on the lower right side of the Windows 95/98/NT task bar, and click on the DISCONNECT button, or you stay connected for longer than twenty (20) minutes, or you click on the CLOSE button on the dialler dialogue box.


Из вышеприведенного текста хотел бы обратить Ваше внимание и привести дословный перевод на наиболее важную вещь, а именно:

Вы должны прочитать, понять и принять данное соглашение, прежде чем использовать это программное обеспечение.

ВНИМАНИЕ: При использовании данной программы через Ваш модем будет осуществляться МЕЖДУГОРОДНИЙ ЗВОНОК НА ДАЛЬНЕЕ РАССТОЯНИЕ ИЛИ ЗВОНОК МЕСТНОГО ЗНАЧЕНИЯ С ФОРМОЙ ОПЛАТЫ, СООТВЕТСТВУЮЩЕЙ ТЕЛЕФОННОМУ ЗВОНКУ С ТЕКУЩЕГО НОМЕРА.

НЕ ТРЕБУЕТСЯ НИКАКИХ КРЕДИТНЫХ КАРТОЧЕК ДЛЯ ДОСТУПА К ИСПОЛЬЗОВАНИЮ ДАННОЙ ПРОГРАММЫ, ВАМ ПРОСТО НЕОБХОДИМО ОПЛАЧИВАТЬ КОЛИЧЕСТВО МИНУТ ТЕЛЕФОННОГО СОЕДИНЕНИЯ МЕЖДУНАРОДНОГО ИЛИ МЕСТНОГО ЗНАЧЕНИЯ.


Для тех, кто так и не понял с какой целью я привел перевод фрагмента текста соглашения, поясню: данная программа позволяет Вам полазить и посмотреть порнографические материалы, доступ к которым осуществляется через телефонную линию при помощи модема с Вашего телефонного номера. Порно-ресурс расположен где-то за границей, поэтому каждая минута телефонного соединения через данную программу влечет за собой оплату, эквивалентную минуте международного звонка в ту страну, где расположен данный порно-ресурс. Поэтому, если Вы примете соглашение и разрешите программе установить соединение для просмотра приватных порнографических материалов, Вам впоследствии может придти весьма солидный или даже астрономический счет за международные разговоры. Как говорится, "незнание языка не освобождает от оплаты использованного для международных разговоров телефонного соединения".
Программа содержит в своем коде большую таблицу кодов выхода на международные соединения для различных стран. В общей сложности программа поддерживает соединения с порно-ресуром через телефонную линию для следующих 239-ти стран (изначально страна выбирается пользователем из общего списка, предложенного программой):

Zimbabwe
Zanzibar
Zambia
Yugoslavia
Yemen
Western Samoa
Wallis and Futuna Islands
Wake Island
Vietnam
Venezuela
Vatican City
Vanuatu
Uzbekistan
Virgin Islands
Uruguay
United Arab Emirates
Ukraine
Uganda
Tuvalu
Turks and Caicos Islands
Turkmenistan
Turkey
Tunisia
Trinidad & Tobago
Tonga Islands
Tokelau
Togo
Thailand
Tanzania
Tajikistan
Taiwan
Syria
Switzerland
Sweden
Swaziland
Suriname
Sudan
St Vincent & Grenadines
St Pierre & Miquelon
St Lucia
St Kitts/Nevis
St Helena
Sri Lanka
Spain
South Africa
Somalia
Solomon Islands
Slovenia
Slovakia
Singapore
Sierra Leone
Seychelles Islands
Serbia
Senegal
Saudi Arabia
Sao Tome and Principe
San Marino
Rwanda
Russia
Romania
Reunion Island
Qatar
Puerto Rico
Portugal
Poland
Philippines
Peru
Paraguay
Papua New Guinea
Panama
Palestine
Palau
Pakistan
Oman
Norway
Northern Marianas Islands
Norfolk Island
Niue
Nigeria
Niger
Nicaragua
New Zealand
New Caledonia
Nevis
Netherlands Antilles
Netherlands
Nepal
Nauru
Namibia
Myanmar
Mozambique
Morocco
Montserrat
Mongolia
Monaco
Moldova
Midway Island
Micronesia
Mexico
Mayotte Island
Mauritius
Mauritania
Martinique
Marshall Islands
Malta
Mali Republic
Maldives
Malaysia
Malawi
Madagascar
Macedonia
Macau
Luxembourg
Lithuania
Liechtenstein
Libya
Liberia
Lesotho
Lebanon
Latvia
Laos
Kyrgyz Republic
Kuwait
Korea (South)
Kiribati
Kenya
Kazakhstan
Jordan
Japan
Jamaica
Ivory Coast
Italy
Israel
Ireland
Iraq
Iran
Indonesia
India
Iceland
Hungary
Hong Kong
Honduras
Haiti
Guyana
Guinea
Guatemala
Guantanamo Bay
Guam
Guadeloupe
Grenada
Greenland
Greece
Gibraltar
Ghana
Germany
Georgia
Gambia
Gabon
French Polynesia
French Guiana
French Antilles
France
Finland
Fiji Islands
Falkland Islands
Faeroe Islands
Ethiopia
Estonia
Eritrea
Equatorial Guinea
El Salvador
Egypt
Ecuador
East Timor
Dominican Republic
Dominica
Djibouti
Diego Garcia
Denmark
Czech Republic
Cyprus
Curacao
Cuba (Guantanamo Bay)
Cuba
Croatia
Costa Rica
Cook Islands
Congo
Comoros
Colombia
Cocos Islands
Christmas Island
China
Chile
Chatham Island
Chad
Central African Republic
Cayman Islands
Cape Verde Islands
Canada
Cameroon
Cambodia
Burundi
Burkina Faso
Bulgaria
Brunei
British Virgin Islands
Brazil
Botswana
Bosnia Herzogovina
Bolivia
Bhutan
Bermuda
Benin
Belize
Belgium
Belarus
Barbados
Bangladesh
Bahrain
Bahamas
Azerbaijan
Austria
Australia
Ascension Island
Aruba
Armenia
Argentina
Antigua
Antarctica
Anguilla
Angola
Andorra
American Samoa
Algeria
Albania
Afghanistan
United States of America
United Kingdom

Если в Windows-система не поддерживает некоторые спец. функции, востребованные программой для телефонного соединения, звонилка извлекает из своего тела собственный модуль для корректного поддержания соединения - библиотеку внутреннего программного пользования, содержащую дополнительный уникальный технический функционал - файл RNAPH.DLL размером около 10 кб.
Параметры соединения сохраняются в вышеописанных ключах реестра. Если в дальнейшем пользователь запустит программу, то соединение с порно-ресурсом произойдет уже автоматически без каких-либо запросов. Также часть настроек соединения программа сохраняет в ключе реестра

[HKEY_CURRENT_USER\Software\Coulomb\FParam\]

Чтобы троянский компонент comload.dll в дальнейшем не закачивал в машину устаревший вариант троянца 243461.exe, звонилка записывает в ключ с листингом уже скачанных файлов следующую запись:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{9E1089BC-1AE8-4685-8D77-6721E5C318A8}\DownloadInformation]
"gparam3"="http://dload.%.com/del/loader.cab#Version=1,0,0,5"


Впоследствии данная ссылка более не будет обрабатываться компонентом comload.dll для скачивания архива loader.cab. Этот архив содержит в себе более раннюю версию троянца 243461.exe. Старый вариант называется loader.exe, тоже имеет размер 5632 байта, никакими утилитами компрессии не обработан и по функционалу полностью идентичен более новому варианту 243461.exe (отличается от него лишь некоторыми незначительными фрагментами кода).


5. Некоторые прочие вещи.

В коде троянского компонента 243461.exe присутствуют следующие строки-"комментарии":

Anyone who thinks this file is a virus should look again!

Anyone listing this file as a virus is no better than the virus authors themselves!


В коде троянского компонента comload.dll присутствуют следующие информационные строки:

CompanyName  Coulomb Ltd
FileDesription  Content Access Plugin
FileVersion  1.0.0.10
InternalName  comload
OriginalFilename  comload.dll
SpecialBuild  D


Также в его коде присутствует следующий перечень разделов ключей, которые могут быть созданы/модифицированы троянцем, однако только 2 из них реально используются данным компонентом (зарезервированы в коде для будущих версий ?):

HKEY_CURRENT_CONFIG (HKCC)
HKEY_DYN_DATA (HKDD)
HKEY_PERFORMANCE_DATA (HKPD)
HKEY_USERS (HKU)
HKEY_LOCAL_MACHINE (HKLM)
HKEY_CURRENT_USER (HKCU)
HKEY_CLASSES_ROOT (HKCR)

В коде программы-звонилки cmb_243461.exe (Girls.exe) присутствует следующая строка-"копирайт":

Coulomb Internet Payment Systems, coulomb, www.coulomb.co.uk, Internet Dialer, micropayment systems


6. Детектирование и удаление троянских компонентов из системы.

На момент создания данного описания компоненты троянской программы Trojan.CoulombGroup.A антивирусы детектируют так:

Антивирус Kaspersky AntiVirus:
файл 243461.exe: Trojan-Downloader.Win32.Small.on
файл comload.dll: Trojan-Downloader.Win32.Small.gh
файл cmb_243461.exe (он же Girls.exe): not-a-virus:Porn-Dialer.Win32.PluginAccess.s (расширенным набором антивирусных баз)
файл loader.exe: Trojan-Downloader.Win32.Small.on

Антивирус DrWeb:
файл 243461.exe: Trojan.DownLoader.1073
файл comload.dll: Trojan.DownLoader.1348
файл cmb_243461.exe (он же Girls.exe): Dialer.Coulomb
файл loader.exe: Trojan.DownLoader.763

Антивирус BitDefender Professional:
файл 243461.exe: Trojan.Downloader.Small.H
файл comload.dll: Trojan.Downloader.Small.GH
файл cmb_243461.exe (он же Girls.exe): Generic.Dialer.CMB.CA47D1CC (в декомпрессированном виде не обнаруживает)
файл loader.exe: Generic.Malware.dld!!.17582B2C

Для удаления всех вышеперечисленных компонентов необходимо проделать следующее:

 - отключить компьютер от сети Интернет;

 - удалить при помощи специализированных утилит все созданные компонентами троянской программы записи в реестре, после чего перезагрузить компьютер;

 - проверить компьютер установленной на нем антивирусной программой, соглашаясь на удаление всех файлов, распознаваемых антивирусом под вышеуказанными идентификационными названиями.


Исследование вредоносного кода и разработка описания: Бройде Герман (aka VirusHunter)
Дата создания: 21.03.2006
Дата внесения последних изменений: 30.08.2006
Автор описания: Бройде Герман (aka VirusHunter)


Rambler's Top100

0.00162410736084