Trojan-Downloader.Win32.Small.acp

Материал из Total Malware Info

Trojan-Downloader.Win32.Small.acp Троянская программа-загрузчик, которая без ведома пользователя загружает из сети Интернет программное обеспечение и запускает его. Программа является динамической библиотекой Windows (PE DLL-файл). Имеет размер 6 144 байта. Упакована при помощи UPX. Распакованный размер около - 10 КБ. Написана на C++.

Деструктивная активность

При загрузке библиотеки в память процесса, путем создания семафора с именем "SkF9x2x", происходит проверка наличия этой библиотеки в памяти. Если это так, то загрузка библиотеки прекращается. В противном же случае происходит создание двух потоков. В первом из них с интервалом в 30 минут происходит скачивание файлов robots.txt со следующих серверов:

www.csebooks.com
www.google.com
www.stopdesign.com
laughingsquid.net
www.buildwebsite4u.com
www.comersus.com
www.abcgallery.com
www.zonezero.com
cajconnections.com
www.saunalahti.fi
www.owlcam.com
httpcode.com
www.cloudwrangler.com
www.e-gold.com
e-gold.times.lv
www.great-hyip.com
jimsfloors.net
www.pay-ace.com
www.thalessecurities.com
rle.port5.com
www.wowbanners.com
www.thai.to
www.midheaven.com
www.tabster.com
www.nancycrow.com
www.mindsisland.com
www.whatsherface.com
www.herplanet.com
www.kallisto.com
www.mtsu.edu
www.holo3.com
coldwellbankerroby.com
www.chuckoverton.com
www.washblade.com
www.nasa.gov
www.megaming.com

Эти файлы сохраняются под именем файла, соответствующего маске smt*.tmp и находящегося в корневом каталоге Windows:

%WinDir%\smt*.tmp

В этих файлах производится поиск подстроки "autoupdate_". Если она была найдена, то происходит извлечение ссылки на файл для загрузки. Далее происходит загрузка файла и сохранение его в корневом каталоге Windows под именем, состоящим из случайно сгенерированной части (%RandomStr%) и расширения ".exe":

%WinDir%\%RandomStr%.exe

После загрузки файла производится проверка его на соответствие определенным параметрам и запуск с последующим удалением через 5 секунд, в противном случае, этот файл удаляется сразу же. В конце всего этого загруженный файл smt*.tmp удаляется. Интервал между загрузками отдельных файлов robots.txt равен 10 секундам. Во втором потоке с интервалом в 2 секунды происходит проверка наличия семафора с именем "SkF9x2x.exit". Если такой семафор был обнаружен, то происходит его удаление и завершение работы троянца. При работе троянца используются следующие параметры реестра:

[HKCU\Software\ODBC]
"last_download_id"
[HKLM\Software\ODBC]
"last_download_id"

Рекомендации по удалению

1. При помощи «Диспетчера задач» завершить троянский процесс
2. Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
3. Из корневого каталога Windows удалить файлы, соответствующие маске smt*.tmp:

%Windir%\smt*.tmp

4. Удалить файл:

%WinDir%\%RandomStr%.exe

5. Удалить следующие параметры ключей реестра:

[HKCU\Software\ODBC]
"last_download_id"
[HKLM\Software\ODBC]
"last_download_id"