Trojan-Downloader.Win32.Satray.w

Материал из Total Malware Info

Перейти к: навигация, поиск

Trojan-Downloader.Win32.Satray.w Троянская программа, которая загружает файлы из интернета без ведома пользователя и запускает их. Является приложением Windows (PE-EXE файл). Имеет размер 30 108 байт. Упакован неизвестным упаковщиком, распакованный размер ~ 111 к.б.

Содержание

Инсталляция

Извлекает из своего исполняемого файла библиотеку: 

%System%\system.dat

Для автоматического запуска при следующем старте системы троян добавляет ссылку на извлеченный файл в ключ автозапуска системного реестра: 

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
{ACADABAF-1000-0010-8000-10AA006D2EA4}

Создает ключ реестра, который содержит ссылку на извлеченный объект: 

[HKCR\CLSID\{ACADABAF-1000-0010-8000-10AA006D2EA4}]

после этого троян удаляет свой исполняемый файл.

Деструктивная активность

Изменяет значение следующего ключа реестра: 

[HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
EnableFirewall=0

и таким образом отключает системный брандмауэр. Получает параметры сетевых интерфейсов командой ipconfig и посылает их на сайт злоумышленников, открывая следующий URL: 

http://o1**cn/Counter/NewCounter.asp?Param=<выход ipconfig>

Скачивает файлы по следующим ссылкам: 

http://o1.*****com/miss/logo.gif (на момент написания описания ссылка не работала)
http://o1.*****com/miss/logo2.gif (на момент написания описания ссылка не работала)
http://o1.*****com/miss/logo3.gif (на момент написания описания ссылка не работала)

файлы скачиваются последовательно в папку: 

%System%\drivers

с именем temp_package.tmp В случае успешной закачки файлы перемещаются в папку %Temp% с именем TempA.exe и запускаются на выполнение.

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

  1. Удалить параметр в ключе реестра (как работать с реестром?):
    2. [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
{ACADABAF-1000-0010-8000-10AA006D2EA4}
  2. Удалить ключ реестра:
    3. [HKCR\CLSID\{ACADABAF-1000-0010-8000-10AA006D2EA4}]
  3. Удалить файлы:
    4. %System%\system.dat
%System%\drivers\temp_package.tmp
%Temp%\TempA.exe
  4. Изменить значение ключа реестра

(как работать с реестром?) на следующее: 

[HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
EnableFirewall=1
Источник — «http://www.totalmalwareinfo.com/rus/Trojan-Downloader.Win32.Satray.w»
Язык
Видеокурс
Computer and Internet Security Video Tutorials
© 2011 ООО «Лаборатория дизайн и тест». Все права защищены.