Технические детали

Вредоносная программа, предоставляющая злоумышленнику удаленный доступ к зараженной машине. Является приложением Windows (PE-EXE файл). Имеет размер 131072 байта. Написана на Delphi.

Инсталляция

После запуска вредонос копирует свое тело в каталог Автозагрузка текущего пользователя, обеспечивая себе возможность автоматически запускаться при каждом следующем старте системы. Копия создается со случайным именем:

%USERPROFILE%\Start Menu\Programs\Startup\<rnd>.exe

где <rnd> – случайная последовательность цифр и латинских букв, к примеру: "ac5dt69pyzi".

Затем вредонос запускает экземпляр системного процесса "EXPLORER.EXE" и внедряет в его адресное пространство исполняемый код, реализующий весь деструктивный функционал.

Деструктивная активность

Подгруженный в процесс "EXPLORER.EXE" код в свою очередь запускает несколько экземпляров системного процесса "SVCHOST.EXE" и внедряет в их адресное пространство код, реализующий функционал бэкдора, и выполняющий следующие действия:

- удаляет оригинальный файл вредоноса;
- скрывает ранее созданную копию в каталоге Автозагрузка;
- устанавливает соединение с серверами злоумышленника для получения команд.

В зависимости от полученных команд, бэкдор может выполнять следующие действия:

- обновлять свой оригинальный файл, загружая обновление с сервера злоумышленника;
- загружать на зараженный компьютер другие файлы;
- отслеживать сетевой трафик системы с целью похищения конфиденциальных данных пользователя;
- собирать информацию о зараженной системе;
- отслеживать клавиатурный ввод пользователя;
- отсылать собранную информацию на сервер злоумышленника.

В ходе своей работы бэкдор подключается к следующим серверам:
Ge***san.org
e6***uf.in
me***i38.com
123***ors.org


На момент создания описания вредонос загружал обновление своего исполняемого файла. Был загружен файл размером 106560 байт;

MD5: 9F550CF8173CED2F375B15452886AE32,
SHA1: CD32190F5F09D7E7A514D5FED896C77AFDAC3866;

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

1. Перезагрузить компьютер в «безопасном режиме» (в самом начале загрузки нажать и удерживать клавишу «F8», затем выбрать пункт «Safe Mode» в меню загрузки Windows).

2. Удалить файл:

%USERPROFILE%\Start Menu\Programs\Startup\<rnd>.exe

3. Очистить каталог Temporary Internet Files, который может содержать инфицированные файлы:http://support.kaspersky.ru/viruses/...?qid=180593120

4. Произвести полную проверку компьютера Антивирусным ПО с обновленными базами.

Источник: http://www.securelist.com/ru/descrip...32.Carberp.acb