Ded MustD!e
Сообщений: 567
Оценки: 0
Присоединился: 2006-07-23 17:19:08
|
Trojan.Win32.LipGame.a
Обновление выпущено 18 янв 2006 02:57 MSK
Технические детали
Троянская программа. Является приложением Windows (PE EXE-файл). Написана на языке C++. Размер зараженного файла — 49152 байта.
Программе соответствует прозрачный значок, вследствие чего её трудно заметить в некоторых файловых менеджерах.
Инсталляция
Инсталляция троянца производится при запуске на выполнение файла с вредоносной программой и выполнении следующих условий:
в командной строке присутствует параметр «-install»;
программа установлена более 21 дня назад или не установлена вообще (определение даты последней установки производится по дате последней записи в файл %WinDir%\imsins_.bin, в который при каждой инсталляции производится запись 1 байта);
в системе отсутствуют следующие объекты:
%Program Files%\0190 Warner
%Program Files%\a2
%Program Files%\CoolspotD\ialer Control
%Program Files%\Popupkiller
%Program Files%\MicroSoft AntiSpyware
%System%\DRIVERS\vmx_svga.sys
%System%\DRIVERS\vpc-s3.sys
При инсталляции некоторые параметры троянец может получать из cookie со строкой «websitesign».
Программа получает по запросу к URL http://xdl.www2.******.com/kb2.php свои настройки в зашифрованном виде и сохраняет их в файле %WinDir%\KB842252.log. Также программа получает данные с этого же сайта и сохраняет их в файле %WinDir%\switchagreement.txt.
В случае наличия при инсталляции в командной строке параметра «-s» запущенный файл копируется в файл %System%\itunesff.exe и регистрируется в автозапуске системного реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"itunesff"="%System%\itunesff.exe"
Таким образом, данный файл будет автоматически запускаться при каждой загрузке ОС.
После этого устанавливается следующее значение ключа реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Telephony\Settings]
"alternative"=1
Затем скопированный файл itunesff.exe запускается.
В случае наличия при установке в командной строке параметра «-d», программа копирует себя в файл %WinDir%\internt.exe, затем пытается создать несколько ярлыков к нему:На рабочих столах всех пользователей:
XXX NOW
TheDoctor
PORN JACK POT
В меню «Пуск» всех пользователей:
LipGame
Dating
WIN PORN DVD
Троянская программа некорректно обрабатывает русскоязычные пути к файлам. Вследствие этого при запуске программы на русифицированных версиях ОС Windows ярлыки не создаются.
Если в командной строке при установке присутствовала подстрока «installbf», то после завершения установки удаляется оригинальный файл программы. В противном случае удаляются следующие файлы:
C:\explorer.cab
C:\inst.hta
C:\inst.exeДеструктивная активность
При запуске без параметров программа выводит консольное окно, в котором выводит строку «FORMAT volume [/FS:file-system] [/V:label] [/Q] [/A:size] [/C] [/X]» и завершает своё выполнение.
При запуске файла itunesff.exe с параметром «-go» программа пытается закрыть окна, содержащие в имени класса строку «#32770», получает данные об открытых телефонных соединениях и сохраняет их в следующем ключе реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Telephony\Settings]
"areacode"
"phonenumber"
"username"
"domain"
Затем программа у всех телефонных соединений изменяет имя пользователя и локальный номер телефона на значения, заданные в файле с настройками KB842252.log, загруженном из интернета при инсталляции.
По прошествии 30 дней после времени, указанного в файле с настройками, полученном с http://xdl.www2.******.com/kb2.php, программа удаляет файл itunesff.exe и возвращает параметры соединений в исходные значения. Также удаляются созданные программой ключи реестра.
При активации одной из иконок производится запуск файла internt.exe c параметром «-go», если на момент запуска нет другой, уже выполняющейся копии internt.exe. После запуска программа разрывает все активные телефонные соединения, затем несколько раз устанавливает и разрывает соединения с различными телефонными номерами, взятыми из файла с настройками.
После этого производит HTTP-запрос к URL http://www.********.nu/members.asp?cat=, передавая в нём некоторые свои параметры. Общее число запусков программы в таком режиме указывается в файле настроек. После совершения данного числа запусков или по прошествии 30 дней после времени, указанного в файле с настройками, программа удаляет файл internt.exe и созданные ей ярлыки.
Для сохранения числа уже произведенных запусков используется следующий ключ реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Telephony]
"cnt"Рекомендации по удалению
Удалить следующий ключ реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"itunesff"="%System%\itunesff.exe"
Завершить выполнение процесса с именем itunesff.exe.
Удалить следующие файлы:
%System%\itunesff.exe
%WinDir%\internt.exe
Исправить параметры всех телефонных соединений на первоначальные.
Удалить ярлыки, созданные программой в меню и на рабочем столе.
Произвести полную проверку компьютера Антивирусом Касперского
|
VIRUS - 
