Downloader.Agent.Win32.87398
Downloader.Agent.Win32.87398 –программа, объединяющая функции троянской программы и программы Downloader. Downloader применяется для загрузки и установки вредоносного ПО (троянской программы, BackDoor и т.д.) на компьютер-жертву. Основное назначение - загрузить из сети Internet и скрытно установить в систему вредоносное ПО.
Методы распространения
распространяется через файлообменные Web-сайты и социальные сети, маскируясь под некие полезные программы, взломщики программ, генераторы серийных кодов и ключей. Обманутый такой маскировкой, пользователь загружает вредоносное ПО и запускает у себя на компьютере.
Техническое описание
Вредоносное ПО представляет собой исполняемый PE файл (Windows EXE) рразмером 52592 Байт, упакован PEtite 2.x., рразмер после распаковки 90 Кбайт.
После запуска Downloader подменяет файл appmgmts.dll (предназначен для обеспечения работы групповой политики на клиентских компьютерах), заменяя его копией своего тела, также он создаёт несколько копий своего тела в папке %System%, присваивая им случайные имена.
Для сокрытия своего процесса в системе, Downloader извлекает из своего тела и устанавливает драйвер. Файл драйвера копируется несколько раз, под разными именами, в папку %System%\drivers\<случайное имя>.sys, рразмер драйвера составляет 6432 байта.
Одновременно в системе ррегистрируется несколько (2-3) копии драйвера, что обеспечивает ему защиту от удаления.
Для регистрации драйвера добавляются ключи в ветку реестра – [HKLM\System\ControlSet001\Services]
Они имеют следующий вид:
[HKLM\System\ControlSet001\Services\<случайное имя>]
Type = dword:00000001
Start = dword:00000002
ErrorControl = dword:00000001
ImagePath = "\??\C:\WINNT\system32\drivers\<случайное имя >.sys"
DisplayName = "< случайное имя >"
Для автоматического запуска при каждом старте системы - Downloader добавляет ключ реестра:
[HKLM\System\ControlSet001\Services\WmdmPmSN\Parameters]
ServiceDll = "%SystemRoot%\System32\appmgmts.dll"
Downloader блокирует возможность запуска некоторых антивирусных программ, Firewall и программ мониторинга, для этого он вносит изменения в реестр Windows. В ветке реестра – [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\], создаются ключи реестра, содержащие имя блокируемого приложения и строку - Debugger = "ntsd -d" . В результате этих действий, приложение вместо запуска перенаправляется на отладчик ntsd.
Созданные ключи реестра выглядят следующим образом:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avp.exe]
Debugger = "ntsd -d"
………
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Mcagent.exe]
Debugger = "ntsd -d"
Где ”avp.exe” и ”Mcagent.exe” - имена блокируемых файлов, подобных ключей создается больше 30 штук.
С целью обхода защиты от обнаружения ищет и закрывает окно Диспетчера задач. После чего пытается соединиться с удаленными серверами в сети Internet и загрузить вредоносную программу (вирус, Trojan, BackDoor и т.д.). Если это удалось, копирует её в системный каталог Windows (%System%) и устанавливаются атрибуты "скрытый" и "системный". После чего запускает загруженное вредоносное ПО на выполнение.
Деструктивные возможности
Загружает из сети Internet вредоносное ПО, сохраняет его на компьютере и запускает на выполнение. Таким образом, на компьютере оказывается различное вредоносное ПО - вирусы, троянские программы и т.п.
Примечания
%CommonAppData% - переменная, которая указывает на каталог, содержащий общие данные для всех пользователей. По умолчанию это - C:\Documents и Settings\All Users\Application Data\.
%Profiles% - переменная, которая указывает на каталог, содержащий папки профиля пользователя. По умолчанию это - C:\Documents и Settings\.
%System% - переменная, которая указывает на системный каталог.По умолчанию это - C:\Windows\System (Windows 95/98/Me), С:\Winnt\System32 (Windows NT/2000), или C:\Windows\System32 (Windows XP).
