Кибербезопасность-обсуждение

[Tuflya07]

Trojan-Downloader.Win32. Mufanom.hby

16 июля, 2010


Троянская программа, которая без ведома пользователя скачивает на компьютер другое программное обеспечение. Является динамической библиотекой Windows (PE DLL-файл). Имеет размер 166400 байт. Написана на C++.
Инсталляция

После запуска троянец копирует свое тело в каталог Windows со случайным именем "<rnd>.dll":
%WinDir%\<rnd>.dll
Где <rnd> - случайный набор латинских букв, например "wmdyte".

Для автоматического запуска при каждом следующем старте системы троянец добавляет ссылку на копию своего исполняемого файла в ключ автозапуска системного реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"<rnd2>" = "rundll32.exe "%Windir%\<rnd1>",Startup"

Деструктивная активность

Троянец завершает процесс:
MRT.exe
Троянец регистрирует себя как Browser Helper Object. Для этого создает соответствующие ключи системного реестра:
[HKCR\CLSID\{<rnd2>}\InprocServer32] "(Default)" = "%WinDir%\<rnd>.dll" "ThreadingModel" = "Apartment" [HKLM\Software\Microsoft\Windows\CurrentVersion\
Explorer\Browser Helper Objects\{<rnd2>}]
Где <rnd2> – идентификатор со случайным именем, например, "1007565B-5822-482B-8BA7-282EC2E61464".

Регистрирует себя как расширение для Mozilla Firefox, добавив значение в ключ системного реестра:
[HKCU\Software\Mozilla\Firefox\Extensions\sample@ex ample.net]
Таким образом при использовании браузеров Mozilla Firefox и Internet Explorer, троянец проверяет адреса посещаемые пользователем. Если адрес содержит в себе одну из следующих строк: gateway.com
webmail.aol.com
aol
slirsredirect
r.looksmart.com
askredir.com
ads.ask.com
aclk
google
zeal.
wisenut.
wikipedia.
what2find.
wesearchall
websearch.
web.ask.co.uk
vivisimo.
vachercher.lycos.fr
usseek.
url.searchuk.com
ukindex.co.uk
thefreedictionary.
sqwire.
search_str=
slotch.
sirsearch.
shoprogers.
***.com
find=
sensis.com
seeq.
searchscout.
searchmiracle.
searchstri=
searchfeed.
searchengine.
search.lycos
search.aol
scoutcrawl.
revquest.
reference.
perfectnav.
pverture.
nytimes.
netzero.
netster.
netscape.
phrase=
neon.org
navisearch.
mywebsearch.
searchfor=
myway.
searchtext=
mygeek.
qry=
mirago.
mamma.
lycos.
looksmart.
london-pages.co.uk
kanoodle.
jayde.
instafinder.
inquire. infoseek.
hotbot.com
grip.com
goguides.
goclick.
gigablast.com
genieknows.
galaxysearch.
mt=findwhat.
findsearch.
excite.
exactsearch.
emetasearch.
earthlink.
qkw=
dogpile.
search=
dmoz.
ditto.com
destinationadult.
daum.net
keywords=
crawlbar.
coolwebsearch.
comcast.
term=
clearsearch.
bbc.
asiaco.
aol.
altavista.com
altavista.
searchterm=
allyoursearch.
alltheweb.com
alexa.
terms=
about.
qu=
7search.
66.220.17.157
keyword=
64.225.154.135
250000.co.uk
.wanadoo.
.teoma.
.search123.
.oingo.
.msn.
.live.
.gohip.
.epilot.com
satitle=
.ebay.
/web?
ask.
query=
/search
.aol.com
.ah-ha.
search.yahoo.
search
.google.
.bing.com/search?

тогда троянец может перенаправлять пользователя на потенциально опасные ресурсы или вставлять в страницу скрипт, перехватывающий поисковые Купи в Softkey 10 корпоративных лицензий Microsoft Office 2010 и получи подарок!
До 30 июня всем покупателям корпоративных лицензий Microsoft Office 2010 в Softkey бонусные карты "М.Видео", "Л'Этуаль" и "Спортмастер" от 1000 рублей в ПОДАРОК!
запросы для отправки на сервер злоумышленника.