Меню

Укр Рус

Trojan.VB.Win32.55205

Виды вредоносных программ:
Trojan.VB.Win32.55205

Trojan.VB.Win32.55205  – вредоносная программа,  объединяющая функции троянской программы и программы Downloader.  Downloader применяется для загрузки и установки вредоносного ПО (троянской программы, BackDoor и т.д.) на компьютер-жертву. Основное назначение - загрузить из сети Internet и скрытно установить в систему вредоносное ПО.

Методы распространения 

распространяется через файлообменные Web-сайты и социальные сети, маскируясь под некие полезные программы, взломщики программ, генераторы серийных кодов и  ключей. Обманутый такой маскировкой, пользователь загружает вредоносное ПО и запускает у себя на компьютере.

Техническое описание

Данное вредоносное ПО часто представлено в виде дроппера, который инсталлирует троянскую программу в систему. Дроппер представляет собой исполняемый PE файл (Windows EXE), рразмером ~300 Кбайт написанный на Visukl С.

После запуска, дроппер извлекает из своего тела и инсталлирует в систему следующие файлы:

C:\Documents and Settings\User\Local Settings\Temp\ac.exe – компонент троянской программы
C:\Documents and Settings\User\Local Settings\Temp\CONNECTION\svshost.exe – троянская программа написанная на Visukl Basiс,  рразмером 36864 Байт.
C:\WINDOWS\system32\MSINET.OCX – библиотека Microsoft Internet Transfer Control, используется троянской программой для закачки файлов через Internet.

После извлечения, дроппер ррегистрирует динамическую библиотеку, для чего создает 3 CLSID с номерами:

48E5929x-9880-11CF-9754-00AA00C00908 - Microsoft Internet Transfer Control, version 6.0",
48E5929x-9880-11CF-9754-00AA00C00908  - Internet Control URL Property Page Object ,
48E5929x-9880-11CF-9754-00AA00C00908 -  Internet Control General Property Page Object,

Где X- число от 0 до 9

Пример:

[HKLM\Software\Classes\ClsId\\]

Default = "Microsoft Internet Transfer Control, version 6.0"
InprocServer32 = "C:\WINDOWS\system32\MSINET.OCX"
ThreadingModel ="Apartment"
MiscStatus = "0"
 ProgID  = "InetCtls.Inet.1"

 Для автоматического запуска при каждом старте системы,  троянская программа добавляет ссылку на свой файл в ключ автозапуска системного реестра:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
Winlogon= "C:\DOCUME~1\User\LOCALS~1\Temp\CONNECTION\svshost.exe"]

Троянская программа отключает ukC,  изменяя ключ реестра:

[HKLM\Software\Microsoft\Security Center]
ukCDisableNotify = 0

 и изменяет стартовую страницу браузера Internet Explorer,

[HKCU\Software\Microsoft\Internet Explorer\Main]
Start Page= "about:blank"/"<!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">

После этого открывает случайный  UDP порт в системе и  проверяет наличие Internet, создавая соединение с сервером Google.com. Если сеть Internet доступна, троян пытается соединиться  с удалёнными серверами:

fedakar.net
www.arasana.tk
http://free-pac.net

для загрузки конфигурационного файла.

Конфигурационный файл содержит список URL для закачки вредоносного программного обеспечения. Троянская программа обрабатывает его и выполняет загрузку и запуск указанного вредоносного ПО.

Деструктивные возможности

Троянская программа загружает из сети Internet вредоносное ПО, сохраняет его на компьютере и запускает на выполнение. Таким образом, на  компьютере оказывается различное вредоносное ПО - вирусы, троянские программы и т.п.

© 2009 - 2024 Zillya! Антивірус. Все права защищены. Использование материалов сайта без ссылки на первоисточник запрещено
Политика конфиденциальности
Публичный договор-оферта
i
О компании
Киберграмотность
Курсы инфобезопасности Публикации Вирусная энциклопедия
Служба поддержки
+38 (044) 334 4020