Trojan.VkHost.Win32.973

Виды вредоносных программ:

Virus Trojan Backdoor Dropper Downloader Tool Adware Dialer Worm Exploit Rootkit

Trojan.VkHost.Win32.973- троянская программа ворующая данные к популярным социальным сетям.

Методы распространения

распространяется через файлообменные Web-сайты и социальные сети, в частности через сети “В контакте” и ”Одноклассники”, маскируясь под игры, некоторые полезные программы и т.п.

Функциональные возможности

Троянская программа представляет собой файл Windows PE (Exe), рразмером 482816 Байт, упакована UPX.

При запуске троянская программа копирует свое тело под именем svchost.exe в папку %Windows%\update.2\

Для автоматического запуска при каждом старте системы троянская программа добавляет новый сервиc с именем srviecheck:

[HKLM\System\CurrentControlSet\Services\srviecheck]
   Type = dword:00000010
    Start = dword:00000002
    ErrorControl = dword:00000000
   ImagePath = "%Windows%\update.2\svchost.exe srv"
    DisplayName = "srviecheck"
    ObjectName = "LocalSystem"

Также троянская программа добавляет ссылку на свой исходный файл в ключ автозапуска системного реестра:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
<имя файла> = ""%Windows%\<имя файла> ""

Для беспрепятственного доступа к сети Internet троянская программа добавляет свои файлы к доверенным приложениям встроенного Firewall Windows, изменяя ключ реестра:

[HKLM\System\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]

%Windows%\ update.2\ svchost.exe = %Windows%\ update.2\ svchost.exe:*:Enabled: %Windows%\ update.2\ svchost.exe"

После регистрации в системе, троянская программа определяет и отправляет на удалённый адрес, IP адрес инфицированной машины.

Для проверки своего присутствия в системе, создает уникальный mutex, который используется для предотвращения многократного запуска троянской программы на одном компьютере.

Троянская программа пытается украсть логины и пароли для популярных социальных сетей, а также для пользователей МТС. Для чего изменяет содержимое файла HOSTS:

127.0.0.1 www.vkontakte.ru
127.0.0.1 login.vk.com
127.0.0.1 vk.com
127.0.0.1 odnoklassniki.ru
127.0.0.1 www.odnoklassniki.ru
127.0.0.1 facebook.com

…………

127.0.0.1 zh-hk.facebook.com
127.0.0.1 www.mts.ru
127.0.0.1 www.kuban.mts.ru
127.0.0.1 www.alania.mts.ru
127.0.0.1 www.altai.mts.ru

Таким образом, пользователь вместо указанного сайта перенаправляется на LocalHost, где запросы перехватываются, и обрабатываются троянской программой.

Для того чтобы пользователь не заметил изменений в HOSTS, эти строки вписываются посередине большого блока пустых строк, если открыть файл HOSTS в блокноте то на первый взгляд он выглядит неизменным, выдает его только то, что рразмер файла Hosts составляет >200 Кб, при его нормальном рразмере 1-2 Кб.

Деструктивные возможности

Крадёт логины и пароли к популярным социальным сетям и мобильным провайдерам.