вторник, 17 марта 2009 г.

Trojan.Win32.Agent.brcu

Имя файла: system.exe
Размер: 56,0 Кб
http://www.virustotal.com/ru/analisis/d3eba3d6f8bbba80c9adf8e799376d76
Файл не чем не запакован, написан на Delphi. Вначале расшифровывает строки, затем инициализирует импорт. В секции ресурсов хранится еще один исполняемый файл. Файл system.exe запускается еще раз с флагом SUSPENDED, затем туда из секции ресурсов копируются данные, изменяется контекст процесса и процесс размораживается.
Размер: 15,5 Кб
Time/Date Stamp (GMT): 15 февраля 2009 г. 15:59:45
http://www.virustotal.com/ru/analisis/481433938bf01a62790bc1328565466a
Файл запакован UPX. После распаковки ~57 Кб. В качестве мютекса (и еще в нескольких местах) используется слово Macrovisions. Далее файл копируется в системную директорию. Переводит системную дату на 01.01.2070г. Добавляет себя в исключения файрвола. Ставит себя на автозагрузку в ветку “…\CurrentVersion\Winlogon” вместе с userinit.exe или, если не получается, в стандартную ветку “…\CurrentVersion\Run”. Затем делается инжект в процесс explorer.exe, в этом потоке проверяем мютекс и при необходимости вновь запускаем процесс (system.exe). Далее (для XP) снимаются хуки с SSDT из Ring3 с помощью NtSystemDebugControl.
Из тела программы извлекается драйвер, записывается в папку TEMP, устанавливается и загружается в систему. Далее запускаются 3 потока: в первом ведется работа с ключами реестра, ставятся нотификаторы на изменение, во втором создается окно, в оконной процедуре которого обрабатывается сообщение о подключении USB диска, с последующим его заражением, в третьем потоке происходит сетевое общение (IRC) с командным центом money.pornoturkiye.com.

Бот умеет скачивать и запускать файлы, оправлять запрашиваемый файл, слать ICMP запросы на какой-либо сайт. Кроме того, бот умеет искать определенные процессы (хеш от имени) и выполнять для них предварительно заложенные действия, а именно добавлять информацию в определенные окна. Причем делать это не традиционным способом, а через буфер обмена.
Размер: 4,0 Кб
Time/Date Stamp (GMT): 13 февраля 2009 г. 4:44:16
http://www.virustotal.com/ru/analisis/9b7b99601348d217574dc85e9f673462
Не чем не обработан, строки зашифрованы. Руткит занимается тем, что ставит хуки на обращение к реестру и фильтрует функции ObReferenceObjectByHandle и IofCallDriver, тем самым, маскируя основную программу.

Комментариев нет: