Trojan-Spy.VBS.Marang.a

Материал из Total Malware Info

Перейти к: навигация, поиск

Trojan-Spy.VBS.Marang.a Троянская программа – шпион ворующая конфиденциальную информацию пользователя, рассылающая спам – сообщения и наносящая вред личной информации пользователя. Имеет размер от 3 552 байт до 9 072 байт. Написана на Visual Basic Script.

Деструктивная активность

Работа троянца может происходить по одному из следующих сценариев: 1) В последний день каждого месяца троянец производит поиск файлов на всех логических дисках со следующими расширениями: 

*.doc
*.ext
*.txt
*.ppt
*.mdb
*.ppl
*.avc
*.jpg
*.zip
*.rar
*.7z
*.mp3
*.avi
*.htm
*.ogg
*.mpg
*.vob
*.wmv
*.wma
*.iso
*.mds
*.xl
*.exe

и удаляет их содержимое. Далее троянец записывает в файл c:\regkey.enger содержимое ключа реестра: 

[HKCU\Software\Mail.Ru\Agent]

После чего отправляет следующее письмо, через почтовый сервер smtp.mail.ru: Кому: 

olia84@list.ru

От кого: 

child of the anger <mra@corp.mail.ru>

Тема: 

текущее_имя_учетной_записи  пользователя Windows

Тело письма: Информация о зараженном компьютере:

  • IP – адрес;
  • Имя компьютера;
  • Имя учетной записи Windows.

Файл во вложении: 

c:\regkey.enger

Затем троянец завершает свою работу.

2) Троянец получает все данные из каталога: 

C:\Documents and Settings\текущее_имя_учетной_записи  пользователя\Application Data\Mra\Avatars

Если в результате поиска не получено имя аватара mra@corp.mail.ru, то троянец отправляет письмо по всем адресам, которые извлекаются из имени аватара с помощью почтового сервера smtp.mail.ru. Характеристика отправляемого письма: Кому: 

полученный из аватара e-mail_адрес

От кого: Троянец случайно выбирает e-mail адрес со следующего списка: 

moscow@mail.ru
vladimir@mail.ru
islam@mail.ru
israel@mail.ru
microsoft@mail.ru
0@mail.ru
1@mail.ru
2@mail.ru
3@mail.ru
_@mail.ru
bog@mail.ru
god@mail.ru
mama@mail.ru
papa@mail.ru
babka@mail.ru
blade@mail.ru
b@mail.ru
c@mail.ru
man@mail.ru
maugli@mail.ru
1@bk.ru
batman@mail.ru
neo@mail.ru
two@mail.ru
the@mail.ru
start@mail.ru
margo@mail.ru
fuel@mail.ru
sex@mail.ru
rot@mail.ru
bomg@mail.ru
rus@mail.ru
o@mail.ru
hard@mail.ru
spam@mail.ru
fli@mail.ru
bool@mail.ru
roker@mail.ru
biker@mail.ru
killer@mail.ru
cradle@mail.ru

Тема письма: 

Вам пришла открытка от: (случайно выбранный_e-mail_адрес)

Тело письма: 

Здравствуйте, на Ваше имя отправлена открытка. Отправитель открытки: (случайно выбранный_�e-mail_адрес) Открытка ждёт Вас по адресу: http://Mai-ca******rod.ru/ddcfc0b3f79c7819acf156f290ed2e13/321fr15e1fs5fsd132e52dsf15/screencard.scr Для просмотра перейдите по ссылке или скопируйте ее в адресную строку интернет-браузера. Открытка будет дожидаться Вас в течение 90 дней.

По завершению своей работы троянец удаляет сое тело.

3) Троянец проверяет наличие в системе файла c:\I§.SYS. Если такого не существует, то записывает в него содержимое следующего ключа реестра: 

[HKCU\Software\Mail.Ru\Agent]

Затем создает ключи реестра:

  • Для автоматического запуска при следующем старте системы троянец добавляет ссылку на файл faxel.exe в ключ автозапуска системного реестра:
    • [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"block" = "%WinDir%\faxel.exe"
  • Этот параметр не позволит пользователю запустить Regedit.exe или Regedt32.exe для изменения системного реестра:
    • [HKCU\Software\Microsoft\Windows\Current Version\Policies\System]
"DisableRegistryTools" = "1"
  • Запрещает запускать "Диcпeтчep зaдaч" для наблюдения за процессами, выполнением программ, а также созданием изменений в приоритете или в состоянии индивидуальных процессов:
    • [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableTaskMgr" = "1"
  • Запрещает пользователю выключать компьютер с помощью команды "Выключить компьютер" в меню "Пуск", а также через нажатие клавиш Ctrl+Shift+Del:
    • [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoClose" = "1"

Затем отсылает следующее письмо с помощью почтового сервера smtp.mail.ru. Кому: 

vivaanarchi@bk.ru

От кого: Случайно выбирает e-mail адрес со следующего списка: 

demon@mail.ru
satana@mail.ru
soulriver@mail.ru

Тема письма: Записывает первую строку из файла: 

C:\MSDOS.SYS

Тело письма: 

*>*> *>*°M>§!!!

Во вложении: 

c:\I§.SYS

Далее троянец удаляет свое тело с зараженного компьютера.

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

  1. Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
  2. Удалить ключ реестра:
    3. [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"block" = "%WinDir%\faxel.exe"
  3. Изменить значение параметров реестра на:
    4. [HKCU\Software\Microsoft\Windows\Current Version\Policies\System]
"DisableRegistryTools" = "0"

[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableTaskMgr" = "0"

[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoClose" = "0"
Источник — «http://www.totalmalwareinfo.com/rus/Trojan-Spy.VBS.Marang.a»
Язык
Видеокурс
Computer and Internet Security Video Tutorials
© 2011 ООО «Лаборатория дизайн и тест». Все права защищены.