Trojan.VB.Win32.55205

Виды вредоносных программ:

Virus Trojan Backdoor Dropper Downloader Tool Adware Dialer Worm Exploit Rootkit

Trojan.VB.Win32.55205 – шкідлива програма, що поєднує функції троянської програми й програми Downloader. Downloader застосовується для завантаження й установки шкідливого ПО ( троянської програми, Backdoor і т.д.) на комп'ютер-жертву. Основне призначення - завантажити з мережі Internet і потай установити в систему шкідливе ПО.

Методи поширення

Поширюється через файлообмінні Web-Сайти й соціальні мережі, маскуючись під якісь корисні програми, зломщики програм, генератори серійних кодів і ключів. Ошуканий таким маскуванням, користувач завантажує шкідливе ПО й запускає в себе на комп'ютері.

Технічний опис

Дане шкідливе ПО часто презентовано у вигляді дроппера, який інсталює троянську програму в систему. Дроппер являє собою PE файл, що виконується (Windows EXE), ррозміром ~300Кбайт написаний на Visukl С.

Після запуску, дроппер витягає зі свого тіла й інсталює в систему наступні файли:

C:\Documents and Settings\User\Local Settings\Temp\ac.exe – компонент троянської програми
C:\Documents and Settings\User\Local Settings\Temp\CONNECTION\svshost.exe – троянська програма написана на Visukl Basiс, ррозміром 36864 Байт.
C:\WINDOWS\system32\MSINET.OCX – бібліотека Microsoft Internet Transfer Control, використається троянською програмою для закачування файлів через Internet.

Після цього, дроппер рреєструє динамічну бібліотеку, для чого створює 3 CLSID з номерами:

48E5929x-9880-11CF-9754-00AA00C00908 - Microsoft Internet Transfer Control, version 6.0",
48E5929x-9880-11CF-9754-00AA00C00908 - Internet Control URL Property Page Object,
48E5929x-9880-11CF-9754-00AA00C00908 - Internet Control General Property Page Object,

Де X- число від 0 до 9

Приклад:

[HKLM\Software\Classes\Clsid\\]

Default = "Microsoft Internet Transfer Control, version 6.0"
Inprocserver32 = "C:\WINDOWS\system32\MSINET.OCX"
Threadingmodel ="Apartment"
Miscstatus = "0"
Progid = "Inetctls.Inet.1"
…

Для автоматичного запуску при кожному старті системи, троянська програма додає посилання на свій файл у ключ автозапуску системного реєстру:

[HKCU\Software\Microsoft\Windows\Currentversion\Run]
Winlogon= "C:\DOCUME~1\User\LOCALS~1\Temp\CONNECTION\svshost.exe"]

Троянська програма відключає ukC, змінюючи ключ реєстру:

[HKLM\Software\Microsoft\Security Center]
ukcdisablenotify = 0

і змінює стартову сторінку браузера Internet Explorer,

[HKCU\Software\Microsoft\Internet Explorer\Main]
Start Page= "about:blank"/"<!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">

Після цього відчиняє випадковий UDP порт у системі й перевіряє наявність Internet, створюючи з'єднання із сервером Google.com. Якщо мережа Internet доступна, троян намагається з'єднатися з віддаленими серверами:

fedakar.net
www.arasana.tk
http://free-pac.net

для завантаження конфігураційного файлу.

Конфігураційний файл містить список URL для закачування шкідливого програмного забезпечення. Троянська програма обробляє його й виконує завантаження й запуск зазначеного шкідливого ПО.

Деструктивні можливості

Троянська програма завантажує з мережі Internet шкідливе ПО, зберігає його на комп'ютері й запускає на виконання. Таким чином, на комп'ютері виявляється різне шкідливе ПО - віруси, троянські програми й т.п.