Downloader.Agent.Win32.87398

Виды вредоносных программ:

Virus Trojan Backdoor Dropper Downloader Tool Adware Dialer Worm Exploit Rootkit

Downloader.Agent.Win32.87398 –програма, що поєднує функції троянської програми й програми Downloader. Downloader застосовується для завантаження й установки шкідливого ПО ( троянської програми, Backdoor і т.д.) на комп'ютер-жертву. Основне призначення - завантажити з мережі Internet і потай установити в систему шкідливе ПО.

Методи поширення

Поширюється через файлообмінні Web-Сайти й соціальні мережі, маскуючись під якісь корисні програми, зломщики програм, генератори серійних кодів і ключів. Ошуканий таким маскуванням, користувач завантажує шкідливе ПО й запускає в себе на комп'ютері.

Технічний опис

Шкідливе ПО являє собою, PE файл що виконується (Windows EXE) ррозміром 52592 Байт, упакований Petite 2.x., ррозмір після розпакування 90 Кбайт.

Після запуску Downloader підмінює файл appmgmts.dll (призначений для забезпечення роботи групової політики на клієнтських комп'ютерах), заміняючи його копією свого тіла, також він створює кілька копій свого тіла в папці %System%, присвоюючи їм випадкові імена.
Для приховання свого процесу в системі, Downloader витягає зі свого тіла й встановлює драйвер. Файл драйвера копіюється кілька разів, під різними іменами, у папку %System%\drivers\<випадкове ім'я>.sys, ррозмір драйвера становить 6432 байта.
Одночасно в системі рреєструється декілько (2-3) копії драйвера, що забезпечує йому захист від видалення.

Для реєстрації драйвера додаються ключі у гілку реєстру –[HKLM\System\Controlset001\Services]

Вони мають такий вигляд:

[HKLM\System\Controlset001\Services\<випадкове ім'я>]
    Type = dword:00000001
    Start = dword:00000002
    Errorcontrol = dword:00000001
    Imagepath = "\??\C:\WINNT\system32\drivers\<випадкове ім'я >.sys"
    Displayname = "< випадкове ім'я >"

Для автоматичного запуску при кожному старті системи - Downloader додає ключ реєстру:

[HKLM\System\Controlset001\Services\Wmdmpmsn\Parameters]
Servicedll = "%Systemroot%\System32\appmgmts.dll"

Downloader блокує можливість запуску деяких антивірусних програм, Firewall і програм моніторингу, для цього він вносить зміни до реєстру Windows. У гілці реєстру – [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\Currentversion\Image File Execution Options\], створюються ключі реєстру, що містять ім'я блокуємого файлу й рядок - Debugger = "ntsd -d" . У результаті цих дій, програма замість запуску перенаправляється на дебагер ntsd.

Створені ключі реєстру мають такий вигляд:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\Currentversion\Image File Execution Options\avp.exe]
Debugger = "ntsd -d"

………

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\Currentversion\Image File Execution Options\Mcagent.exe]
Debugger = "ntsd -d"

Де ”avp.exe” і ”Mcagent.exe” - імена блокуємих файлів, подібних ключів створюється більше 30 штук.

З метою обходу захисту від виявлення Downloader шукає й закриває вікно Диспетчера завдань. Після чого намагається з'єднатися з віддаленими серверами в мережі Internet і завантажити шкідливу програму (вірус, Trojan, Backdoor і т.д.). Якщо це вдалося, копіює її в системний каталог Windows (%System%) і встановлюються атрибути "прихований" і "системний". Після чого запускає завантажене шкідливе ПО на виконання.

Деструктивні можливості

Завантажує з мережі Internet шкідливе ПО, зберігає його на комп'ютері й запускає на виконання. Таким чином, на комп'ютері опиняється різне шкідливе ПО - віруси, троянські програми й т.п.

Примітки

% Commonappdata% - перемінна, яка вказує на каталог, що містить спільні дані для всіх користувачів. За замовчуванням це - C:\Documents і Settings\All Users\Application Data\.

% Profiles% - перемінна, яка вказує на каталог, що містить папки профілю користувача. За замовчуванням це - C:\Documents і Settings\.

% System% - перемінна, яка вказує на системний каталог. За замовчуванням це - C:\Windows\System (Windows 95/98/Me), З:\Winnt\System32 (Windows NT/2000), або C:\Windows\System32 (Windows XP).