Trojan-Downloader.Win32.Netcomp
Материал из Total Malware Info
Trojan-Downloader.Win32.Netcomp Троянская программа-загрузчик, которая без ведома пользователя загружает из сети Интернет программное обеспечение и запускает его. Программа является приложением Windows (PE EXE-файл). Имеет размер 16 835 байт. Написана на C++.
Деструктивная активность
После загрузки троянец производит попытку скрытия своего процесса из списка процессов (заканчивается успехом только в Windows семейства 9x). Дальше производятся попытки открытия ключей реестра:
[HKCR\.soca] [HKCR\.tapb] [HKCR\.mpaz]
Если хотя бы один из этих ключей реестра присутствует, то происходит завершение работы троянской программы. Далее происходит получение аббревиатуры языка локали, кода страны, информации о временной зоне. Если аббревиатура языка локали не соответствует строке "CHS", либо код страны не соответствует "86", либо часовой пояс не соответствует "GMT +8:00", то происходит завершение работы троянца. В противном же случае, из командной строки извлекается имя файла троянца и происходит чтение 8 байт от конца файла. В них в шестнадцатеричном виде содержится длина зашифрованного блока, содержащего ссылки на файлы для загрузки и размер этого блока (в данном случае, это число 1C3h или 451). После расшифровки блока троянец извлекает следующие ссылки:
http://china-tr*******g.org:53/gxpd/strehost.ref http://shangha******.net:53/gxpd/strehost.ref http://vcds******g:53/gxpd/strehost.ref http://beautif********.com:53/gxpd/strehost.ref http://asian*****rg:53/gxpd/strehost.ref http://bbs-*****t:53/gxpd/strehost.ref http://bigsi******:8080/gxpd/strehost.ref; http://chinai******com:53/gxpd/strehost.ref http://beautif********.net:53/gxpd/strehost.ref http://dreamsw******.com:53/gxpd/strehost.ref (на момент создания описания ссылки не работали)
После этого происходит попытка создания раздела реестра:
[HKCR\.soca]
если она не удалась, троянец завершает свою работу. Далее происходит ожидание в течении 5 минут, после чего проверяется наличие Internet соединения. Для этого производится попытка открытия ключа реестра:
[HKCU\Software\Microsoft\Internet Explorer\Main]
Если она удалась, то происходит получение значения стартовой страницы путем чтения параметра реестра:
[HKCU\Software\Microsoft\Internet Explorer\Main] "Start Page"
После этого производится попытка открытия стартовой страницы или используется значение "http://cn.y****.com/" в случае ее отсутствия. Если попытка не удалась, то это свидетельствует об отсутствии соединения с Internet.В этом случае происходит ожидание в течение трех минут и повторная проверка наличия соединения. Если после 20 попыток соединение так и не появилось, то происходит завершение работы троянской программы. Если же соединение установлено, то устанавливается таймаут на получение и отправку данных равным 5 минутам, для всех ссылок из списка происходит загрузка расположенных по ним файлов. Эти файлы сохраняются в каталоге с троянцем (%TrojanPath%) под именами, соответствующими названию страницы для скачивания без расширения (%SavedName%) и расширением ".exe" (для данного случая это strehost.exe):
%TrojanPath%\%SavedName%.exe
после чего происходит регистрация автозапуска этих фалов в системе путем создания ключа реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run] %SavedName%=%TrojanPath%\%SavedName%.exe
далее происходит удаление параметра реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "Network Component Service"
Рекомендации по удалению
- При помощи «Диспетчера задач» завершить троянские процессы (для данного случая это процесс strehost.exe).
- Удалить ключи реестра:
- Удалить параметр реестра:
[HKCR\.soca] [HKCR\.tapb] [HKCR\.mpaz]
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "Network Component Service"
а также другие параметры, созданные троянцем и размещенные в этом ключе реестра
- Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер), а также файлы, загруженные им, из каталога троянца.
