Форум VolSat - Показать сообщение отдельно - Кибербезопасность-обсуждение

Tuflya07 · 22.04.2010, 14:50

Trojan-Spy.Win32. Bugnraw.a

20 апреля, 2010

Вредоносная программа, предназначенная для несанкционированной пользователем загрузки и установки на компьютер-жертву других вредоносных программ, а также для кражи конфиденциальных данных пользователя.
Инсталляция

При запуске программа копирует свой исполняемый файл в корневой каталог Windows:
%WinDir%\system32\<rnd>.exe
А также извлекает из себя и создает следующие файлы:
%WinDir%\system32\<rnd>.src
%WinDir%\system32\<rnd>.bmp
<rnd> – произвольная последовательность из символов латинского алфавита.

Для автоматического запуска при каждом следующем старте системы вредоносная программа добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"<rnd>" = "%WinDir%\system32\<rnd>.exe "
Также программа создает следующие ключи реестра:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Software Notifier]
InstallationID"="c897a1ec-c72f-449a-9e19-646046128ace"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\sr\Parameters]
"FirstRun" = 1

[HKCU\Control Panel\Colors]
"Background"="0 0 255"

[HKCU\Control Panel\Desktop]
"ConvertedWallpaper" = "WinDir%\system32\<rnd>.bmp"
"OriginalWallpaper" = "%WinDir%\system32\<rnd>.bmp"
"SCRNSAVE.EXE" = "%WinDir%\system32\<rnd>.src"
"Wallpaper" = "%WinDir%\system32\<rnd>.bmp"
"WallpaperStyle" = "0"

[HKCU\Software\Microsoft\Internet Explorer\Desktop\Components]
"GeneralFlags" = 4

[HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\System]
"NoDispBackgroundPage" = 1
"NoDispScrSavPage" = 1

[HKCU\Software\Sysinternals\Bluescreen Screen Saver]
"EulaAccepted" = 1

Деструктивная активность

Вредоносная программа проверяет наличие соединения с интернетом, обрашаясь к электронному адресу windowsupdate.microsoft.com, в случае успеха программа скачивает и запускает файл по ссылке
http://av-xp-2008.com/images/1263144...071e5d1437b80c 401c6982d513a0/ c897a1ec-c72f-449a-9e19-646046128ace.gif

На момент составления описания ссылка была недоступна, но есть основания полагать, что ранее на ней распологалось нежелательное программное обеспечение(not-a-virus:FraudTool), которое сообщает пользователю о наличии на компьютере вредоносных программ(даже если их на компьютере нет) и предлагает перечислить финансовые средства на определенные счета для оплаты лечения компьютера от этих программ. Также программа устанавливает фоновым рисунком рабочего стола следующее изображение:

Программа отсылает отчет по своей работе на электронный адрес
http://www.winifixer.com/log2.php
При этом указывая в отчете все успешно произведенные действия, а также следующую информацию о компьютере пользователя:
Информацию об установленном на компьютере аппаратном обеспечении.
Список запущенных процессов на момент запуска программы.

22.04.2010, 14:50	#17
Tuflya07 Гуру Регистрация: 07.10.2007 Ресивер: Openbox X-800 Сообщений: 10,465 Сказал(а) спасибо: 2,818 Поблагодарили 5,637 раз(а) в 4,437 сообщениях Вес репутации: 48	Trojan-Spy.Win32. Bugnraw.a 20 апреля, 2010 Вредоносная программа, предназначенная для несанкционированной пользователем загрузки и установки на компьютер-жертву других вредоносных программ, а также для кражи конфиденциальных данных пользователя. Инсталляция При запуске программа копирует свой исполняемый файл в корневой каталог Windows: %WinDir%\system32\<rnd>.exe А также извлекает из себя и создает следующие файлы: %WinDir%\system32\<rnd>.src %WinDir%\system32\<rnd>.bmp <rnd> – произвольная последовательность из символов латинского алфавита. Для автоматического запуска при каждом следующем старте системы вредоносная программа добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра: [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "<rnd>" = "%WinDir%\system32\<rnd>.exe " Также программа создает следующие ключи реестра: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Software Notifier] InstallationID"="c897a1ec-c72f-449a-9e19-646046128ace" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\sr\Parameters] "FirstRun" = 1 [HKCU\Control Panel\Colors] "Background"="0 0 255" [HKCU\Control Panel\Desktop] "ConvertedWallpaper" = "WinDir%\system32\<rnd>.bmp" "OriginalWallpaper" = "%WinDir%\system32\<rnd>.bmp" "SCRNSAVE.EXE" = "%WinDir%\system32\<rnd>.src" "Wallpaper" = "%WinDir%\system32\<rnd>.bmp" "WallpaperStyle" = "0" [HKCU\Software\Microsoft\Internet Explorer\Desktop\Components] "GeneralFlags" = 4 [HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\System] "NoDispBackgroundPage" = 1 "NoDispScrSavPage" = 1 [HKCU\Software\Sysinternals\Bluescreen Screen Saver] "EulaAccepted" = 1 Деструктивная активность Вредоносная программа проверяет наличие соединения с интернетом, обрашаясь к электронному адресу windowsupdate.microsoft.com, в случае успеха программа скачивает и запускает файл по ссылке http://av-xp-2008.com/images/1263144...071e5d1437b80c 401c6982d513a0/ c897a1ec-c72f-449a-9e19-646046128ace.gif На момент составления описания ссылка была недоступна, но есть основания полагать, что ранее на ней распологалось нежелательное программное обеспечение(not-a-virus:FraudTool), которое сообщает пользователю о наличии на компьютере вредоносных программ(даже если их на компьютере нет) и предлагает перечислить финансовые средства на определенные счета для оплаты лечения компьютера от этих программ. Также программа устанавливает фоновым рисунком рабочего стола следующее изображение: Программа отсылает отчет по своей работе на электронный адрес http://www.winifixer.com/log2.php При этом указывая в отчете все успешно произведенные действия, а также следующую информацию о компьютере пользователя: Информацию об установленном на компьютере аппаратном обеспечении. Список запущенных процессов на момент запуска программы. __________________