Trojan.VkHost.Win32.973

Виды вредоносных программ:

Virus Trojan Backdoor Dropper Downloader Tool Adware Dialer Worm Exploit Rootkit

Trojan.VkHost.Win32.973 - троянська програма, що краде логіни і паролі до популярних соціальних мереж.

Методи розповсюдження

розповсюджується через файлообмінні Web-Сайти й соціальні мережі, зокрема через мережі “У контакті” і ”Однокласники”, маскуючись під ігри, деякі корисні програми й т.п.

Функціональні можливості

Троянська програма являє собою файл Windows PE (Exe), ррозміром 482816 Байт, упакована UPX.

При запуску троянська програма копіює своє тіло під ім'ям svchost.exe у папку %Windows%\update.2\

Для автоматичного запуску при кожному старті системи троянська програма додає новий сервіc з ім'ям srviecheck:

[HKLM\System\Currentcontrolset\Services\srviecheck]
   Type = dword:00000010
    Start = dword:00000002
    Errorcontrol = dword:00000000
   Imagepath = "%Windows%\update.2\svchost.exe srv"
    Displayname = "srviecheck"
    Objectname = "Localsystem"

Також троянська програма додає посилання на свій початковий файл у ключ автозапуску системного реєстру:

[HKLM\Software\Microsoft\Windows\Currentversion\Run]
<ім'я файлу> = ""%Windows%\<ім'я файлу> ""

Для безперешкодного доступу до мережі Internet троянська програма додає свої файли до довірених програм вбудованого Firewall Windows, змінюючи ключ реєстру:

[HKLM\System\Currentcontrolset\Services\Sharedaccess\Parameters\Firewallpolicy\Standardprofile\Authorizedapplications\List]

% Windows%\ update.2\ svchost.exe = %Windows%\ update.2\ svchost.exe:*:Enabled: %Windows%\ update.2\ svchost.exe"

Після реєстрації в системі, троянська програма визначає й відправляє на віддалену адресу, IP адресу інфікованої машини.

Для перевірки своєї присутності в системі, створює унікальний mutex, який використається для запобігання багаторазового запуску троянської програми на одному комп'ютері.

Троянська програма намагається вкрасти логіни й паролі для популярних соціальних мереж, а також для користувачів МТС. Для чого змінює вміст файлу HOSTS:

127.0.0.1 www.vkontakte.ru
127.0.0.1 login.vk.com
127.0.0.1 vk.com
127.0.0.1 odnoklassniki.ru
127.0.0.1 www.odnoklassniki.ru
127.0.0.1 facebook.com

…………

127.0.0.1 zh-hk.facebook.com
127.0.0.1 www.mts.ru
127.0.0.1 www.kuban.mts.ru
127.0.0.1 www.alania.mts.ru
127.0.0.1 www.altai.mts.ru

Таким чином, користувач замість зазначеного сайту перенаправляється на Localhost, де запити перехоплюються, і обробляються троянською програмою.

Для того щоб користувач не помітив змін в HOSTS, ці рядки вписуються посередині великого блоку порожніх рядків, якщо відкрити файл HOSTS у блокноті то на перший погляд він виглядає незмінним, видає його тільки те, що ррозмір файлу Hosts становить >200 Кб, при його нормальному ррозмірі 1-2 Кб.

Деструктивні можливості

Краде логіни й паролі до популярних соціальних мереж і мобільних провайдерів.