VirusHunter предупреждает всех пользователей ПК о массовом распространении многочисленных модификаций опасной троянской программы Backdoor.Intimidater.A (aka Trojan.FakeAlert, Backdoor.Frauder), осуществляющей загрузку др. вредоносных программ и несанкционированное подключение к инфицированному ею компьютеру через сеть Интернет, а также пугающей пользователей различными ложными сообщениями...


1. Источники попадания в машину.

На данный момент мне известны 6 вариантов данной модификации троянца, которые практически полностью идентичны по коду и своему функционалу. Все они являются Windows-программами (PE EXE-файлами).
Основным источником распространения троянца являются др. вредоносные программы, которые скачивают и устанавливают в компьютер варианты последнего через сеть Интернет. Предположительно ссылки на троянскую программу также могут содержаться в спам-письмах, когда содержание текстов последних соблазняет пользователя зайти на какой-нибудь "интересный" (а в реальности - вредоносный) сайт для просмотра чего-либо не менее "интересного" (см. в качестве примера описание Email-Fraud.UnfriendlyLetter.fotki).
Также не исключен вариант попадания троянца в компьютер через файло-обменные сети, где вредоносный файл может быть предложен пользователю для скачивания среди прочих, действительно полезных программ. При этом названия вредоносного файла могут быть различными.


2. Инсталляция в систему.

Процесс инсталляции троянца может происходить немного по-разному, в зависимости от способа попадания в машину. Если файл устанавливается др. вредоносными программами или самим троянцем (при обновлении своего файла), то исходная копия последнего записывается на диск в подкаталог временных файлов текущего пользователя под нижеприведенными названиями, где %tempname% - случайный набор символов, состоящий из цифр и малых латинских букв - например, tk3.tmp, y2ppg.tmp и т.п.:

\Documents and Settings\%username%\Local Settings\TEMP\%tempname%.tmp

Далее вредоносная программа, которая устанавливает троянца, загружает файл на выполнение как обычный EXE-файл, и тот сохраняет свою активность вплоть до завершения работы ОС.
Аналогично происходит и в том случае, если файл был скачан пользователем из файло-обменной сети и собственноручно запущен на выполнение. Единственным отличием является то, что в случае скачивания троянца из обменника очевидно, что расширение файла будет EXE.
Исходная копия троянца, будучи загружена на выполнение, производит окончательную инсталляцию себя в систему, а также извлекает из своего тела дополнительные компоненты. В состав компонентов бэкдора входят следующие файлы, которые записываются в нижеуказанный системный подкаталог под следующими названиями:

%windir%\System32\lphc%name%.exe - копия троянца (идентична по всем параметрам и дате модификации файла исходной копии), размер которой может составлять 185-187 кб или 203776 байт (в зависимости от вариации зловреда; последний из указанных размеров встречается довольно часто). Программа написана на языке Microsoft Visual C+, основная часть кода всех модификаций троянца сжата и зашифрована утилитой "EXECryptor" версии 2.1.21;

%windir%\System32\phc%name%.bmp - файл-картинка в BMP-формате. У всех вариаций бэкдора размер данного файла составляет 625208 байт (размер изображения 704x444);

%windir%\System32\blphc%name%.scr - файл с экранной заставкой BlueScreenSaver. Его размер для всех вариаций троянца идентичен и составляет 118784 байта (файл также обработан утилитой "EXECryptor" версии 2.1.21), несмотря на незначительные отличия кода;

\Documents and Settings\%username%\Local Settings\TEMP\.tt%%%.tmp.vbs - троянская программа размером 1002 байта (размер и содержимое файла идентичны для всех известных мне вариаций троянца). Написана на языке Visual Basic Script.

Фрагмент имени файлов-компонентов троянца - %name% - представляет собой комбинацию цифр и малых латинских букв. Эта комбинация уникальна для каждого компьютера: она всегда будет постоянной (зависит от каких-то неустановленных характеристик компьютера, несвязанных с его именем), но при этом на двух компьютерах такие комбинации будут различными.
Фрагмент имени троянского VBS-компонента - %%% - представляет собой случайную вариацию из 3-х символов: первый - случайная цифра от 0 до 9, второй и третий - случайная цифра от 0 до 9 или заглавная буква латинского алфавита в диапазоне от A до F включительно.
Исходная копия троянца проверяет свое местоположение и название файла. Если они отличны от %windir%\System32\lphc%name%.exe, то создается эта новая копия, но управление (активность) сохраняется за исходной копией вплоть до завершения работы ОС Windows. Однако, если провести эксперимент и запустить исходную копию троянца с произвольным именем из подкаталога %windir%\System32\, то в нем не создастся новая копия lphc%name%.exe, а просто происходит переименование названия исходного троянского файла на указанное. При этом название активного процесса такой переименованной копии сохраняет за собой исходное название (т.е. в соответствии с именем файла до его переименования - например, если исходный файл назывался virus.exe, то после его переименования в lphc%name%.exe активный процесс последнего все равно будет отображаться в памяти как virus.exe).
Троянец создает следующую запись в ключах автозагрузки системного реестра для возможности своего автозапуска при каждом последующем старте ОС:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"Lphc%name%"="%windir%\\system32\\lphc%name%.exe"


Данная запись, а также компоненты .tt%%%.tmp.vbs, phc%name%.bmp и blphc%name%.scr обновляются троянцем один раз - при его запуске на выполнение (т.е. при каждом старте системы). При этом phc%name%.bmp и blphc%name%.scr презаписываются, а .tt%%%.tmp.vbs создается заново и запускается на выполнение при помощи системного сервиса "WinScript" (приложения wscript.exe). При этом промежуток времени, которое вредоносный скрипт обрабатывается в памяти, соответствует 10 секундам, после чего его работа завершается. При выполнении скрипта в той же папке создаются 2 файла нулевого размера с названиями вида .tt%%%.tmp.
Картинку из файла phc%name%.bmp троянец устанавливает в качестве центрового рисунка Рабочего стола. Она содержит следующий устрашающий текст:


Цвет подложки Рабочего стола заменяется на белый или темно-синий, в зависимости от внутренних счетчиков троянца.
Бэкдор закрывает доступ к файлу blphc%name%.scr, устанавливая его в качестве экранной заставки "по умолчанию". Данный скринсейвер используется троянцем как дополнительное устрашающее средство воздействия на пользователя, поскольку заставка симулирует ошибки появления "синего экрана смерти". Эффект устрашения получается весьма колоритным, если принять во внимание тот факт, что троянец импортирует в записи реестра параметр, эмулирующий согласие юзера на использование данной экранной заставки в своем компьютере (детальнее об этом читайте здесь). Заставка может запускаться через промежутки времени как в соответствии с установленными настройками Рабочего стола, так и в зависимости от внутренних счетчиков троянца.
Для того, чтобы картинку и заставку нельзя было заменить/убрать, в ключах реестра добавляются/модифицируются следующие ветки и значения:

[HKEY_CURRENT_USER\Control Panel\Desktop]
"Wallpaper"="%windir%\\system32\\phc%name%.bmp"
"OriginalWallpaper"="%windir%\\system32\\phc%name%.bmp"
"ConvertedWallpaper"="%windir%\\system32\\phc%name%.bmp"
"SCRNSAVE.EXE"="%windir%\\system32\\blphc%name%.scr"

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Themes\LastTheme]
"Wallpaper"="%windir%\\system32\\phc%name%.bmp"

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"
%не указан по соображениям безопасности%"=dword:00000001
"
%не указан по соображениям безопасности%"=dword:00000001

В результате внесения последних двух из указанных значений, в настройках параметров Рабочего стола пропадают закладки "Рабочий стол" (Desktop) и "Заставка" (Screensaver) со всеми вытекающими отсюда последствиями:

нормальный вид:


после действия троянца:


Для того, чтобы избежать одновременного присутствия в памяти нескольких своих активных копий, троянец создает в памяти некую уникальную метку-идентификатор своего присутствия в системе.


3. Вредоносные действия в сети Интернет.

Сразу после своего запуска троянец запрашивает у системы IP-адрес сервера Интернет-провайдера, через которого было произведено последнее удачное подключение к сети Интернет, и далее пытается определить активность подключения к сети путем отправки на этот сервер нескольких ping-пакетов. Пинги отсылаются через базовый порт "по умолчанию" (53-й порт), если он не используется какой-либо др. программой. В случае получения положительного ответа (т.е. когда инфицированная машина подключена к сети) троянец приступает к осуществлению различных вредоносных процедур.

Spy (шпион). Троянец похищает с инфицированного компьютера следующие данные:

 - содержимое из TXT-файлов, расположенных в папке Cookie (файлы, сохраняемые в компьютере и используемые различными Интернет-порталами для авторизации пользователя при входе на соответствующий сайт);

 - ищет сохраненные в кэше системы логины и пароли доступа к Интернет-порталам, адреса которых содержат любой из нижеследующих фрагментов:

odnoklassniki.ru
vkontakte.ru
google.ru
tibsystems.
statsbank.com
boards.cexx.org
adultwebmasterinfo.com
spywareinfo.
dialerschutz.de
webmasterworld.com
crutop.nu
gofuckyourself.com


Все вышеуказанные данные троянец отсылает на какой-то почтовый адрес, расположенный на сервере с адресом, оканчивающемся строкой .chr.santa-inbox.com. Передача данных производится в виде http-запросов на указанный сервер.

Backdoor (удаленное администрирование компьютера). Троянец пытается связаться с неким сервером через случайно выбранный порт TCP/IP. Если сервер ответил на запрос, то с зараженного компьютера на него пересылаются следующие данные:

 - версия ОС Windows, включая полное название и номер билда (build'а) версии;
 - список логических разделов жесткого диска и их форматы (FAT32 или NTFS);
 - информация о количестве свободного места на каждом логическом разделе;
 - полное название модели процессора и его тактовая частота;
 - номер открытого для принятия команд машинного порта;
 - список программ, установленных в инфицированной системе.

Обмен данными с сервером идет в виде пакетов по 32 байта каждый, с применением сетевого криптографического протокола MD5.
По команде злоумышленника бэкдор может принимать с удаленного сервера и устанавливать в компьютер произвольные вредоносные файлы, которые сохраняются в виде TMP-файлов в подкаталоге временных файлов текущего пользователя (т.е. как %путь к каталогу текущего пользователя%\Local Settings\TEMP\*.tmp), после чего запускаются троянцем на выполнение как обычные программные файлы.

Downloader (Интернет-загрузчик файлов). Троянец связывается с одним из нижеследующих серверов (ссылка зависит от конкретно рассматриваемой вариации зловреда), на которых производится авторизация (отсылается зашифрованная строка, "вшитая" в код троянца) с последующим получением прямых ссылок на скачивание программы-аферы, известной пользователям под названием "XP AntiVirus 2008:

http://antivironline.com
http://antivir08.com
http://anti-virus-xp.net
http://av-xp2008.com
http://a-vxp08.net


Скачиваемая программа представляет собой фальшивый антивирус, который якобы обнаруживает в компьютере пользователя несколько десятков "вредоносных и о-очень опасных программ", недетектируемых никакими др. (реальными) антивирусным программами, и предлагает приобрести более навороченную фальшивку ("антивирус"), но уже за деньги у "разработчиков" данной программы-аферы:


URL-Redirecter (перенаправление запросов). Троянец периодически открывает в веб-браузере Internet Explorer страницу с ссылкой на какой-то порно-ресурс:

http://youpornztube.org

Также он отслеживает обращения к серверу обновлений программных продуктов компании Microsoft - http://windowsupdate.microsoft.com, перенаправляя их на сайт загрузки все той же программы-аферы "XP AntiVirus 2008:

http://presents.avxp2008.com/ping13.php?id=...


4. Прочее.

Компонент .tt%%%.tmp.vbs содержит в себе функционал, при помощи которого троянец каким-то образом пытается блокировать (?) запуск системной процедуры восстановления системы - т.н. "контрольной точки восстановления", очевидно с целью не дать пользователю возможности отыграть состояние системы на тот момент, когда машина еще не была инфицирована.


5. Детектирование и удаление программы.

На данный момент 6 вариаций троянца Backdoor.Intimidater.A и создаваемые ими компоненты антивирусы детектируют под следующими номенклатурными названиями:

Антивирус Kaspersky AntiVirus:
файл lphc*.exe (вариант 1, размер 203776 байт): Backdoor.Win32.Frauder.ca
файл lphc*.exe (вариант 2, размер 203776 байт): Backdoor.Win32.Frauder.dk
файл lphc*.exe (вариант 3, размер 203776 байт): Backdoor.Win32.Frauder.ee
файл lphc*.exe (вариант 4, размер 203776 байт): Backdoor.Win32.Frauder.ee
файл lphc*.exe (вариант 5, размер 185856 байт): Trojan-Downloader.Win32.Small.adsu
файл lphc*.exe (вариант 6, размер 186368 байт): Trojan-Downloader.Win32.Small.adtq
файл .tt%%%.tmp.vbs: Backdoor.Win32.Frauder.eo
невредоносные компоненты:
файл blphc*.scr (варианты 1-4): никак не детектирует
файл blphc*.scr (варианты 5,6): никак не детектирует
файл phc*.bmp: никак не детектирует

Антивирус DrWeb:
файл lphc*.exe (вариант 1, размер 203776 байт): Trojan.Packed.624
файл lphc*.exe (вариант 2, размер 203776 байт): Trojan.Fakealert.1234
файл lphc*.exe (вариант 3, размер 203776 байт): Trojan.Fakealert.1234
файл lphc*.exe (вариант 4, размер 203776 байт): Trojan.Fakealert.1234
файл lphc*.exe (вариант 5, размер 185856 байт): Trojan.Packed.365 (включен в антивирусную базу 13.05.2009)
файл lphc*.exe (вариант 6, размер 186368 байт): Trojan.Packed.365 (включен в антивирусную базу 13.05.2009)
файл .tt%%%.tmp.vbs: Trojan.ResetSR
невредоносные компоненты:
файл blphc*.scr (варианты 1-4): Trojan.Fakealert.1228
файл blphc*.scr (варианты 5,6): никак не детектирует
файл phc*.bmp: никак не детектирует

Антивирус BitDefender Professional:
файл lphc*.exe (вариант 1, размер 203776 байт): Trojan.FakeAlert.ACR
файл lphc*.exe (вариант 2, размер 203776 байт): Trojan.FakeAlert.AEB
файл lphc*.exe (вариант 3, размер 203776 байт): Trojan.FakeAlert.AEB
файл lphc*.exe (вариант 4, размер 203776 байт): Trojan.FakeAlert.AEB
файл lphc*.exe (вариант 5, размер 185856 байт): не обнаруживает
файл lphc*.exe (вариант 6, размер 186368 байт): Trojan.Generic.760212
файл .tt%%%.tmp.vbs: не обнаруживает
невредоносные компоненты:
файл blphc*.scr (варианты 1-4): Trojan.FakeAlert.AAI
файл blphc*.scr (варианты 5,6): Trojan.FakeAlert.AFW
файл phc*.bmp: Trojan.FakeAlert.AGJ

Все файлы, которые установленный в Вашем компьютере антивирус определяет под любым из вышеприведенных номенклатурных названий, нужно просто удалить.
С учетом серьезной опасности и негативных последствий в результате деятельности бэкдора, для пользователей Windows XP была создана специальная утилита, удаляющая троянца из компьютера, а также восстанавливающая поврежденные им записи в ключах реестра.
Итак, пользователи Windows XP могут пролечить свои компьютеры следующим образом:

1. Скачать с нашего сайта архив с утилитами от VirusHunter'а, который находится здесь;

2. Отключить компьютер от сети Интернет и перезагрузить его (компьютер);

3.Распаковать содержимое архива и запустить утилиту №15 (важно: перед использованием утилиты настоятельно рекомендуется отключить проактивную антивирусную защиту, дабы избежать негативных казусов и ошибок лечения). В ходе процедуры лечения утилита осуществит следующие действия:

 - удалит вредоносные файлы %windir%\System32\lphc*.exe (пояснение: в системном реестре не имеют место файлы, расположенные по указанному пути и соответствующие данной маске; при этом в инфицированном компьютере с большой вероятностью будут присутствовать др. вредоносные программы, местоположение и маска имени которых будет идентична указанным выше параметрам - по этим соображениям и была реализована процедура удаления всех таких файлов при условии, что хотя бы один из них будет идентифицирован утилитой как Backdoor.Intimidater.A);
 - отключит на время лечения системный процесс wscript.exe (если он был запущен троянцем);
 - восстановит все измененные/заблокированные бэкдором системные настройки, связанные с Рабочим столом (даже в том случае, если троянец был удален из компьютера еще до проверки последнего моей утилитой);
 - удалит информацию о легализации экранной заставки BlueScreenSaver, которая несанкционированно была внесена в реестр троянцем, дабы пользователь имел возможность выбора использовать данный скринсейвер или нет.

Дополнительную информацию касательно работы утилиты №15 можно прочитать в прилагаемом к набору от VirusHunter'а руководстве пользователя.
После окончания работы утилиты можно обычным способом установить новый фоновый рисунок и экранную заставку для Рабочего стола. Прочие компоненты троянца и его копии, т.е. файлы:

%windir%\System32\blphc*.scr
%windir%\System32\phc*.bmp
\Documents and Settings\%username%\Local Settings\TEMP\.tt%%%.tmp.vbs
\Documents and Settings\%username%\Local Settings\TEMP\*.tmp

можно не удалять, поскольку после лечения (при отсутствии lphc*.exe) они представляют собой просто файловый мусор. Также нет необходимости в удалении из ключей реестра записи, содержащей ссылку на уже несуществующий троянский файл.
Тем, чьи компьютеры были инфицированы троянцем, рекомендуется как можно скорее сменить свои пароли авторизации для всех сайтов, список которых был приведен выше при описании шпионских процедур, дабы исключить возможность получения доступа к вашим эккаунтам злоумышленниками.


Исследование вредоносного кода и разработка описания: Бройде Герман (aka VirusHunter)
Дата создания: 10.10.2008
Дата внесения последних изменений: 13.05.2009
Автор описания: Бройде Герман (aka VirusHunter)


Rambler's Top100

0.00276207923889