вторник, 24 февраля 2009 г.

Trojan.Win32.Agent.bryp

Имя файла: 111.exe
Размер: 22,1 Кб
Time/Date Stamp (GMT): 5 февраля 2009 г. 14:54:12
http://www.virustotal.com/ru/analisis/1f7b296f89914c531ffcb6c9e10df59b
Файл не чем не запакован, написан на Visual C++ 6.0. Зачем-то читает в ветке реестра "Software\Microsoft\Windows\CurrentVersion\ShellBotR" ключ “Infected”. Далее извлекает и расшифровывает из себя два других исполняемых файла: имя первого генерируется случайно (12177.exe), имя второго “пустышка.exe”, сохраняет их в папку Temp и запускает на исполнение. Как и следует из имени, второй файла ничего не делает кроме вызова функции ExitProcess (размер файла 1,5 Кб).
Имя файла: 12177.exe
Размер: 15 Кб
Time/Date Stamp (GMT): 3 февраля 2009 г. 12:39:13
http://www.virustotal.com/ru/analisis/9602874fe625c156ae5b21ac5fa95472
Файл разбавлен мусором. Вначале расшифровывается основное тело программы (ADVAPI32.CryptDecrypt).
Далее инициализируется импорт, расшифровывается нужные строки. Расшифровывается и сохраняется в папку System32 библиотека “Px.ax”. Затем троян читает kernel32.dll, производит модификацию функции CreateProcessW, добавляя загрузку библиотеки “Px.ax”. Оригинальная библиотека "\system32\dllcache\kernel32.dll" переименовывается в "kbdpx.dll", а на ее место записывается модифицированный вариант. При записи новых файлов время создания и модификации устанавливается такое же как и у файла “kernel32.dll”.
В цикле 380 раз проходит по списку запущенных процессов, ищет процесс "taskmgr.exe" (Диспетчер процессов), в случаи, если процесс запущен, останавливает все его потоки. Далее еще один цикл с поиском процессов "explorer.exe" и "taskmgr.exe" и остановкой их потоков. Результатом остановки потоков процесса "explorer.exe" будет “зависание” системы, а далее, скорее всего перезагрузка системы.
Имя файла: Px.ax
Размер: 12,5 Кб
Time/Date Stamp (GMT): 3 февраля 2009 г. 12:37:21
http://www.virustotal.com/ru/analisis/fe89654a85028db84064ae58d49c31f2
Не чем не упакованная DLL. Инжектится к процессу "svchost.exe" с помощью функции CreateRemoteThread. При работе создает мютекс "Global\\Px.Ax". Скачивает файл: http://trafficmonsterinc.ru/bot.dll. Большая часть кода DLL не работает. Есть зашифрованные строки для отключения встроенного фаервола, установки в автозагрузку, URL и т.д., но все это не используется.
2009, GMax
e_gmax@mail.ru

Комментариев нет: