Trojan-Spy.Win32.Achum

Материал из Total Malware Info

Перейти к: навигация, поиск

Trojan-Spy.Win32.Achum Троянская программа-шпион. Является приложением Windows (PE-EXE файл).Имеет размер 36 352 байта. Упакована при помощи UPX. Распакованный размер около 100 KB.

Инсталляция

Троянец может быть запущен со следующими ключами: 

/-uninstall (удаляет себя из системы)
/-remove (начинает деструктивные действия на зараженном компьютере)
/remp (устанавливает в системе параметры для последующих деструктивных действий)

Для автоматического запуска при следующем старте системы троянец добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра: 

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"MSMGT"="<путь к файлу запущенного экземпляра троянца>"

Создаёт следующий ключ реестра: 

[HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\MSMGT]
"DisplayName"= "MS T-Media Display"
"UninstallString"= "<путь к файлу запущенного экземпляра троянца + строка «-uninstall»>"

Далее троянец создает в каталоге Windows bat-файл: 

%WinDir%\cmuninstall.bat

и записывает в него строку: 

C:\WINDOWS\MSMGT.EXE -remove

Деструктивная активность

После запуска троянец регистрирует свой процесс как служебный с помощью функции "RegisterServiceProcess". Создает файлы с именами: 

%WinDir%\AddyC.dll
%WinDir%\AddyU.dll
%WinDir%\MSKNWRD.dll

где хранит свою конфигурационную информацию. Далее связывается с сайтом злоумышленников через URL: 

http://centralmedia.ws

Получает управляющие команды от злоумышленника и отсылает ему данные, полученные из строки адреса главного окна Internet Explorer.

Рекомендации по удалению

  1. При помощи «Диспетчера задач» завершить троянский процесс.
  2. Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
  3. Удалить файлы:
    4. %WinDir%\AddyC.dll
%WinDir%\AddyU.dll
%WinDir%\MSKNWRD.dll
  4. Удалить значения ключей реестра:
    5. [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"MSMGT"="<путь к файлу запущенного экземпляра троянца>"

[HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\MSMGT]
"DisplayName"= "MS T-Media Display"
"UninstallString"= "<путь к файлу запущенного экземпляра троянца + строка «-uninstall»>"
Источник — «http://www.totalmalwareinfo.com/rus/Trojan-Spy.Win32.Achum»
Язык
Видеокурс
Computer and Internet Security Video Tutorials
© 2011 ООО «Лаборатория дизайн и тест». Все права защищены.