Trojan.VKont.Win32.633

Trojan.VKont.Win32.633 -  троянская программа, загружающая из сети Internet вредоносное ПО.

Методы распространения 

распространяется через файлообменные Web-сайты и социальные сети, в частности через сети “В контакте” и ”Одноклассники”,  маскируясь под игры, некоторые полезные программы  и т.п.

Функциональные возможности

Троянская программа представляет собой файл Windows PE (Exe),  рразмером 802304 Байт, упакована UPX.

При запуске троянская программа отображает окно, которое создает у пользователя мнение, что программа не работает:

На самом деле троянская программа запускается и  создает в каталоге TEMP несколько *.bat файлов, посредством которых  добавляет себя в реестр и ррегистрирует в доверенных приложения Windows Firewall. По завершению работы .bat файлы удаляются.

Во время запуска троянская программа создает файл proc_list1.log, куда сохраняет список запущенных в настоящий момент процессов и их pid. Если среди них обнаруживаются  антивирусные программы, программы мониторинга или Firewall , троянская программа завершает работу.

Троянская программа  копирует свое тело под именем svchost.exe в папку  %Windows%\ update.1\, а также под именем services32.exe в корневую папку Windows.

Для автоматического запуска при каждом старте системы троянская программа изменяет несколько ключей реестра:

1. Добавляет  новый сервис с именем wxpdrivers:

[HKLM\System\CurrentControlSet\Services\srviecheck]
   Type = dword:00000010
    Start = dword:00000002
    ErrorControl = dword:00000000
     ImagePath = "%Windows%\update.1\svchost.exe srv"
    DisplayName = " wxpdrivers "
    ObjectName = "LocalSystem"

2. Добавляет ссылку на свой файл в ключ автозапуска системного реестра:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
   wxpdrv  = ""%Windows%\update.1\svchost.exe" ""

3. Добавляет ключи реестра:

[HKLM\System\CurrentControlSet\Control\SafeBoot\Minimal\wxpdrivers\
            (По умолчанию)      "Service"

[HK LM\System\CurrentControlSet\Control\SafeBoot\Network\wxpdrivers\
            (По умолчанию)      "Service"

Данный ключи позволят запустить троянскую программу, при попытке загрузить компьютер в безопасном режиме и в безопасном режиме с поддержкой сети.

4.Изменяет ключ реестра:

[HKLM\System\CurrentControlSet\Control\SafeBoot\]
AlternateShell = "cmd.exe"/"services32.exe"

Данный ключ запустит троянскую программу при попытке загрузить компьютер в безопасном режиме с поддержкой командной строки (Safe mode with Command Prompt)

Троянская программа:

• Отключает User Account Control.
• Отключает Windows Firewall
• Понижает настройки безопасности для исполнения файлов загруженых из сети Internet.
• Для беспрепятственного доступа к сети Internet троянская программа добавляет свои файлы в доверенные приложения встроенного Firewall Windows, добавляя ключ реестра:

[HKLM\System\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]

 %Windows%\ update.1\ svchost.exe = %Windows%\ update.1\  svchost.exe:*:Enabled: %Windows%\  update.1\ svchost.exe"

 <Исходный файл> = <Исходный файл>:*:Enabled: <Исходный файл>"

Для проверки своего присутствия в системе, создает уникальный mutex “xpdrvsd”, который используется для предотвращения многократного запуска троянской программы на одном компьютере.

Троянская программа соединяется с несколькими поисковыми системами и генерирует запрос для нахождения новых вредоносных приложений, после чего скачивает и устанавливает их на зараженный компьютер.

Деструктивные возможности

Ищет в сети Internet вредоносное ПО, после чего скачивает и устанавливает его на зараженный компьютер. В результате чего на компьютере оказывается большое количество разнообразных вредоносных программ – вирусов , Backdoor,  Trojan и т.д.