Trojan-Spy.Win32.Small.gm

Материал из Total Malware Info

Перейти к: навигация, поиск

Trojan-Spy.Win32.Small.gm Троянская программа, которая загружает файлы из интернета без ведома пользователя и запускает их. Является приложением Windows (PE-EXE файл). Имеет размер 14 594 байт.

Инсталляция

Извлекает из своего тела файлы: 

%System%\odbcmr32.dll – размер 9 216 байт.
%System%\obdwk.sys     – размер 3 712 байт.

Для автоматического запуска при следующем старте системы троян добавляет ссылку на свой исполняемый файл в ключи автозапуска системного реестра: 

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"odb_set"="{0DE95E54-AA80-4F84-B836-C95ABC1FA8CF}"

[HKLM\SOFTWARE\Classes\CLSID\{0DE95E54-AA80-4F84-B836-C95ABC1FA8CF}\InprocServer32]
@="odbcmr32.dll"

[HKCR\CLSID\{0DE95E54-AA80-4F84-B836-C95ABC1FA8CF}\InprocServer32]
@="odbcmr32.dll"

[HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
@=”RUNDLL32.EXE %System%\odbcmr32.dll, odb_run”

[HKLM\SYSTEM\ControlSet001\Services\mcemgr]
"Type"=dword:00000001
"Start"=dword:00000003
"ErrorControl"=dword:00000000
"ImagePath"=hex(2):5c,3f,3f,5c,43,3a,5c,57,49,4e,44,4f,57,53,5c,73,79,73,74,65,\
  6d,33,32,5c,6f,62,64,77,6b,2e,73,79,73,00
"DisplayName"="mcemgr"

[HKLM\SYSTEM\ControlSet001\Services\mcemgr\Security]
"Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,\
  00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\
  00,00,02,00,60,00,04,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\
  05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\
  20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,\
  00,18,00,fd,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,23,02,00,00,01,01,\
  00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00

[HKLM\SYSTEM\ControlSet001\Services\mcemgr\Enum]
"0"="Root\LEGACY_MCEMGR\\0000"
"Count"=dword:00000001
"NextInstance"=dword:00000001

Деструктивная активность

При запуске системы троянский компонент подгружается к процессу explorer.exe и запускает SOCKS4, SOCKS5 и HTTP прокси сервера на случайных TCP портах. После этого номера портов прокси сообщаются на сайт злоумышленникам в следующем URL: 

http://air-****.com/icq/ss/log.php%s?ac=onl&p4=<SOCKS4 порт>&p5=<SOCKS5 порт>&hs=<HTTP порт>

после этого злоумышленники получают возможность работать в интернет через компьютер пользователя.

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

  1. При помощи ("Диспетчера задач") завершить троянский процесс.
  2. Удалить параметры в ключах реестра (как работать с реестром?):
    3. [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"odb_set"="{0DE95E54-AA80-4F84-B836-C95ABC1FA8CF}"

[HKLM\SOFTWARE\Classes\CLSID\{0DE95E54-AA80-4F84-B836-C95ABC1FA8CF}\InprocServer32]
@="odbcmr32.dll"

[HKCR\CLSID\{0DE95E54-AA80-4F84-B836-C95ABC1FA8CF}\InprocServer32]
@="odbcmr32.dll"

[HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
@=”RUNDLL32.EXE %System%\odbcmr32.dll, odb_run”

[HKLM\SYSTEM\ControlSet001\Services\mcemgr]
"Type"=dword:00000001
"Start"=dword:00000003
"ErrorControl"=dword:00000000
"ImagePath"=hex(2):5c,3f,3f,5c,43,3a,5c,57,49,4e,44,4f,57,53,5c,73,79,73,74,65,\
  6d,33,32,5c,6f,62,64,77,6b,2e,73,79,73,00
"DisplayName"="mcemgr"

[HKLM\SYSTEM\ControlSet001\Services\mcemgr\Security]
"Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,\
  00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\
  00,00,02,00,60,00,04,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\
  05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\
  20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,\
  00,18,00,fd,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,23,02,00,00,01,01,\
  00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00

[HKLM\SYSTEM\ControlSet001\Services\mcemgr\Enum]
"0"="Root\LEGACY_MCEMGR\\0000"
"Count"=dword:00000001
"NextInstance"=dword:00000001
  3. Перезагрузить компьютер
  4. Удалить оригинальный файл трояна (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
  5. Удалить файлы:
    6. %System%\odbcmr32.dll
%System%\obdwk.sys
Источник — «http://www.totalmalwareinfo.com/rus/Trojan-Spy.Win32.Small.gm»
Язык
Видеокурс
Computer and Internet Security Video Tutorials
© 2011 ООО «Лаборатория дизайн и тест». Все права защищены.