Trojan-Proxy.Win32.Horst.jh

Материал из Total Malware Info

Перейти к: навигация, поиск

Trojan-Proxy.Win32.Horst.jh Троянская программа, которая без ведома пользователя инсталлирует троянское программное обеспечение. Программа является приложением Windows (PE EXE-файл). Имеет размер 52 224 байт. Упакована UPack. Размер распакованного файла около 164 КБ. Язык написания C++.

Инсталляция

Троянец имеет следующие ключи запуска: /w – скачивание новой версии и установление сервиса; /u – удаление «временных» файлов; /nu – обновление файлов до новой версии. В ключе реестра устанавливает параметр: 

[HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"(имя_текущего_файла)" = "имя_текущего_файла:*:Enabled:Microsoft Update"

Извлекает во временную папку из своего тела файл: 

%TEMP%\tmp1.tmp (49152 байта детектируется Антивирусом Касперского как Trojan-Proxy.Win32.Horst.jh).

Перед попыткой обновления, троянец копируется в файлы: 

%WORK%\smss.exe
%WORK%\smssb.exe
%System%\smss.exe

Загружает свою новую версию со следующего URL: 

http://rc.r******.com/check_ver.php?version=6.03  (на момент создания описания ссылка не работала)

сохраняет ее во временную папку: 

%TEMP%\smss.exe

запускает свою новую версию с ключом: 

%TEMP%\smss.exe /nu

Для автоматического запуска при следующем старте системы троянец добавляет ссылку на свой исполняемый файл в ключи автозапуска системного реестра: 

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"(nvsvcb)"=" %APPDATA%\smssb.exe /u".
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"(nvsvc)"="%APPDATA%\smss.exe /w".

Деструктивная активность

Запускает файл: 

%System%\svchost.exe

копирует свое тело в его адресное пространство и передает туда управление. Из временной папки, файл "%TEMP%\tmp1.tmp" копирует в системную: 

в %System%\nvsvcd.exe

Запускает файл "nvsvd.exe" с ключом "-install": 

%System%\nvsvcd.exe -install

nvsvcd.exe (49 152 байта, детектируется Антивирусом Касперского как Trojan-Proxy.Win32.Horst.jh) Троянец проверяет, запущен ли файл с ключом: -install – запускает себя как сервис с именем "Windows Log" и выходит; -remove – завершает сервис "Windows Log" и выходит; (любой другой ключ) – подключается к сервису "Windows Log" и меняет точку входа в него. пытается скопировать и запустить файл: 

c:\...\data.exe в %TEMP%\data.exe.

Рекомендации по удалению

  1. При помощи «Диспетчера задач» завершить троянский процесс.
  2. Снять процесс, запущенный от имени текущего пользователя:
    3. svchost.exe
  3. Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
  4. Снять процесс:
    5. nvsvcd.exe
  5. Удалить файлы:
    6. %System%\nvsvcd.exe
%System%\smss.exe
%TEMP%\tmp1.tmp»
%WORK%smss.exe
%WORK%smssb.exe
%TEMP%\smss.exe
%TEMP%\data.exe
  6. Удалить ключи реестра:
    7. HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run\]
"(nvsvc)"="%APPDATA%\smss.exe /w"
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run\]
"(nvsvcb)"=" %APPDATA%\smssb.exe /u"
Источник — «http://www.totalmalwareinfo.com/rus/Trojan-Proxy.Win32.Horst.jh»
Язык
Видеокурс
Computer and Internet Security Video Tutorials
© 2011 ООО «Лаборатория дизайн и тест». Все права защищены.