Trojan.VKont.Win32.633

Trojan.Vkont.Win32.633 -  троянська програма, що завантажує з мережі Internet шкідливе ПО.

Методи розповсюдження 

розповсюджується через файлообмінні Web-Сайти й соціальні мережі, зокрема через мережі “У контакті” і ”Однокласники”,  маскуючись під ігри, деякі корисні програми  й т.п.

Функціональні можливості

Троянська програма, являє собою файл Windows PE (Exe),  ррозміром 802304 Байт, упакована UPX.

При запуску троянська програма відображає вікно, яке створює в користувача думку, що програма не працює:

Насправді троянська програма запускається й  створює в каталогу TEMP декілкько *.bat файлів, за допомогою яких  додає себе до реєстру й рреєструє в довірених програмах Windows Firewall. По завершенню роботи .bat файли видаляються.

Під час запуску троянська програма створює файл proc_list1.log, куди зберігає список запущених у даний момент процесів і їх pid. Якщо серед них виявляються  антивірусні програми, програми моніторингу або Firewall, троянська програма завершує роботу.

Троянська програма  копіює своє тіло під ім'ям svchost.exe у папку  %Windows%\ update.1\, а також під ім'ям services32.exe у кореневу папку Windows.

Для автоматичного запуску при кожному старті системи троянська програма змінює кілька ключів реєстру:

1. Додає  новий сервіс із ім'ям wxpdrivers:

[HKLM\System\Currentcontrolset\Services\srviecheck]
   Type = dword:00000010
    Start = dword:00000002
    Errorcontrol = dword:00000000
     Imagepath = "%Windows%\update.1\svchost.exe srv"
    Displayname = " wxpdrivers "
    Objectname = "Localsystem"

2. Додає посилання на свій файл у ключ автозапуску системного реєстру:

[HKLM\Software\Microsoft\Windows\Currentversion\Run]
   wxpdrv  = ""%Windows%\update.1\svchost.exe" ""

3. Додає ключі реєстру:

[HKLM\System\Currentcontrolset\Control\Safeboot\Minimal\wxpdrivers\
            ( За замовчуванням)      "Service"

[HK LM\System\Currentcontrolset\Control\Safeboot\Network\wxpdrivers\
            ( За замовчуванням)      "Service"

Ці ключі дозволять запустити троянську програму, при спробі завантажити комп'ютер у безпечному режимі або у безпечному режимі з підтримкою мережі.

4.Змінює ключ реєстру:

[HKLM\System\Currentcontrolset\Control\Safeboot\]
 Alternateshell = "cmd.exe"/"services32.exe"

Даний ключ запустить троянську програму при спробі завантажити комп'ютер у безпечному режимі з підтримкою командного рядка (Safe mode with Command Prompt)

Троянська програма:

• Відключає User Account Control.
• Відключає Windows Firewall
• Знижує настроювання безпеки для виконання файлів занавантажених з мережі Internet.
• Для безперешкодного доступу до мережі Internet троянська програма додаєсвої файли в довірені програми вбудованого Firewall Windows, додаючи ключі реєстру:

[HKLM\System\Currentcontrolset\Services\Sharedaccess\Parameters\Firewallpolicy\Standardprofile\Authorizedapplications\List]

 % Windows%\ update.1\ svchost.exe = %Windows%\ update.1\  svchost.exe:*:Enabled: %Windows%\  update.1\ svchost.exe"

 <Вихідний файл> = <Вихідний файл>:*:Enabled: <Вихідний файл>"

Для перевірки своєї присутності в системі, створює унікальний mutex “xpdrvsd”, який використається для запобігання багаторазового запуску троянської програми на одному комп'ютері.

Троянська програма з'єднується з декількома пошуковими системами й генерує запит для знаходження нових шкідливих програм, після чого завантажує і встановлює їх на заражений комп'ютер.

Деструктивні можливості

Шукає в мережі Internet шкідливе ПЗ, після чого завантажує і встановлює його на заражений комп'ютер. У результаті чого на комп'ютері опиняється велика кількість різноманітних шкідливих програм – вірусів, Backdoor,  Trojan і т.д.