Технические детали

Троянская программа, выполняющая деструктивные действия на компьютере пользователя. Программа является приложением Windows (PE DLL-файл). Имеет размер 69632 байта. Написана на C++.


Деструктивная активность

После активации троянец выполняет обращение к серверу обновлений "Microsoft" по ссылке:


Результат обращения к серверу пытается сохранить в файл:
  • %Temp%\<rnd1>.tmp

где <rnd1> – произвольная последовательность из букв и цифр латинского алфавита.

Далее троянец выполняет чтение следующих ключей системного реестра Windows:
  • [HKLM\Software\Microsoft\Windows NT\CurrentVersion]
  • "ProductName"
  • "CSDVersion"
  • "InstallDate"
  • [HKLM\Software\Microsoft\Cryptography]
  • "MachineGuid"


На основании которых формирует строку обращения к управляющему серверу. Данные отправляются с помощью POST метода по следующему URL адресу:


Обмен данными с сервером выполняется в зашифрованном виде, для чего использует криптографические механизмы Microsoft Windows.
В ответ сервер передает управляющие команды, а также некоторые параметры. Троянец может получать следующие команды:
  • Reboot;
  • DownloadAndExecuteEXE;
  • DAMPDLL;
  • Wipe;
  • Update;
  • SelfRemove;
  • CfgWrite.


В результате выполнения команд троянец выполняет следующий вредоносный функционал:
Получая системные привилегии, выполняет принудительную перезагрузку компьютера.
Загружает файл по ссылке, которая поступает с сервера злоумышленника, и запускает его на выполнение. Загруженные файлы сохраняются во временном каталоге текущего пользователя с именем:
  • %Temp%\<rnd2>.tmp

где <rnd2> – произвольная последовательность из букв и цифр латинского алфавита.

Удаляет указанные злоумышленником файлы.
Загружает обновленную версию своего оригинального файла и запускает ее на выполнение. Например, для обновления своего файла, троянец получал с сервера следующие команды:


Приводит к неработоспособности системы, удаляя системные файлы:
  • %System%\config\software.sav
  • %System%\config\system.sav
  • %System%\config\system
  • %System%\config\default
  • %System%\config\SAM
  • %System%\config\SECURITY
  • %System%\config\software
  • %System%\config\afw_db.conf
  • %System%\config\afw_hm.conf
  • %System%\config\AppEvent.Evt
  • %System%\config\SysEvent.Evt
  • %System%\config\fsdb.sdb
  • %System%\config\rules.rdb
  • %System%\config\Internet.evt
  • %System%\config\SecEvent.Evt
  • %System%\config\userdiff


Также записывает "мусорные" данные в главную загрузочную запись (MBR) жесткого диска.
Получать новые конфигурационные данные с сервера злоумышленника.

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

1. Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).

2. Удалить файлы:
  • %Temp%\<rnd1>.tmp
  • %Temp%\<rnd2>.tmp


3. Произвести полную проверку компьютера Антивирусным ПО с обновленными базами.



Источник: http://www.securelist.com/ru/descrip...n32.Agent.nccy