Trojan.Autoit.Win32.8052

Виды вредоносных программ:

Virus Trojan Backdoor Dropper Downloader Tool Adware Dialer Worm Exploit Rootkit

Trojan.Autoit.Win32.8052 – троянська програма, що використає знімні носії й мережу для свого розповсюдження.

Методи розповсюдження

Троян створює копії свого тіла на всіх доступних для запису мережевих і знімних дисках. При розмноженні через знімні носії троян копіює себе на носій у папку <Диск:> \ RECYCLER \ <випадкове ім'я>.exe. У корені кожного знімного диска створюється супутній файл Autorun.inf, який дозволить виконатися копії троянської програми, якщо на комп'ютері включений автозапуск.

При розмноженні через мережу, троян копіює своє тіло в папки відкриті на запис і створює в них файл autorun.inf, що вказує на тіло троянської програми. Для запобігання повторного копіювання, створює на заражених ресурсах порожній файл із ім'ям khx.

Функціональні можливості

Після запуску, троянська програма копіює своє тіло в папку %SYSTEM%>, під іменем csrcs.exe і встановлює для нього атрибути “схований” і “системний”. Троян рреєструє своє тіло в системі, створюючи для цього декілька ключів реєстру:

[HKLM\SOFTWARE\Microsoft\Windows\Currentversion\policies\Explorer\Run]
Csrcs =<%SYSTEM%>\csrcs.exe

[HKLM\SOFTWARE\Microsoft\Windows NT\Currentversion\Winlogon]
Shell=explorer.exe csrcs.exe

[HKLM\Software\Microsoft\Windows\Currentversion\Runservices]
csrcs=<%SYSTEM%>\csrcs.exe

Таким чином, троянська програма буде завантажуватися при кожному старті Windows, а декілька записів у реєстрі захищають її від видалення.

По завершенню реєстрації, вихідний файл із якого була запущена троянська програма віддаляється.

Для приховання свого тіла в системі, троян відключає можливість перегляду прихованих файлів і папок, змінюючи значення ключів реєстру:

[HKCU\Software\Microsoft\Windows\Currentversion\Explorer\Advanced\Folder]
Showsuperhidden= dword:00000000

[HKCU\Software\Microsoft\Windows\Currentversion\Explorer\Advanced]
Hidden = dword:00000002

[HKCU\Software\Microsoft\Windows\Currentversion\Explorer\Advanced]
Superhidden = dword:00000002

Для визначення своєї присутності в системі створює унікальний ідентифікатор "6E523163793968624 ", який використається для запобігання багаторазового запуску троянської програми на одному комп'ютері. Для контролю своєї присутності в системі створює ключ системного реєстру [HKLM\Software\Microsoft\DRM\amty]

Мережева активність

Для визначення зовнішнього IP адреси зараженого комп'ютера, троян з'єднується з доменом www.whatismyip.com. Після чого відправляє повідомлення зловмиснику про зараження комп'ютера.

Намагається завантажити файли з віддалених серверів

souxxxxx.com
lemxxxxx.com

Троянська програма підключається до віддаленого сервера через канал IRC і виконує команди зловмисника.