Trojan.Win32.Dialer.oy

Материал из Total Malware Info

Перейти к: навигация, поиск

Trojan.Win32.Dialer.oy Троянская программа, дозванивающаяся на международные номера. Является приложением Windows (PE EXE-файл). Размер зараженного файла — 13 312 байт. Упакована UPX. Распакованный размер около 29 КБ. Написана на Visual C++.

Инсталляция

После своего запуска, троянец создает, во временной папке, файл с настройками реестра: 

%Temp%\sdIE.tmp.reg ,

далее запускает regedit /s для внесения данных в реестр. Создает следующие ключи реестра: 

[HKEY_CURRENT_USER\Software\Microsoft\SystemCertificates\TrustedPublisher\Certificates\67E32AAE9D25C040E8E4BC929F162E9C356709C5]
"Blob" = "binary: 03 00 00 00 …"

[HKEY_CURRENT_USER\Software\Microsoft\SystemCertificates\TrustedPublisher\Certificates\2CC55F50D717C96978D479EB55B5C24D5FBBCEC0]
"Blob" = "binary: 03 00 00 00 …"

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\WinTrust\Trust Providers\Software Publishing\Trust Database\0]
"goicfboogidikkejccmclpieicihhlpo loapdp" = "DialerPlatform Limited"
"goicfboogidikkejccmclpieicihhlpo ohjaca" = "Global Acces  S.L."

Изменяет значение в ключах реестра: 

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings]
"ProxyEnable" = "dword: 0x00000000"
"MigrateProxy" = "dword: 0x00000001"

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap]
"ProxyBypass" = "dword: 0x00000001"
"IntranetName" = "dword: 0x00000001"
"UNCAsIntranet" = "dword: 0x00000001"

Деструктивная активность

При запуске создает два окна с именами: "ULWindowUrl" и "ULWindowSeek". Троянец добавляет пару издателей в список Internet Explorer: 

DialerPlatform Limited
Global Access S.L.

Просмотреть данный список можно в окне настроек Интернет браузера, нажав на вкладке "Содержание" (Content) кнопку "Издатели" (Publishers). Далее троянец загружает скрипт: 

http://www.trama**********mine.info/support.php?mx=yes,

который загружает с адреса "http://85.255.114.166" файл: 

rdgUA2404.exe (17 528 байта, детектируется Антивирусом Касперского как Trojan-Downloader.Win32.Obfuscated.n).

Рекомендации по удалению

  1. Закрыть окна Троянца: "ULWindowUrl" и "ULWindowSeek".
  2. При помощи «Диспетчера задач» завершить троянский процесс:
    3. rdgUA2404.exe
win29.tmp.exe
  3. Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер)
  4. Удалить следующие ключи в реестре:
    5. [HKEY_CURRENT_USER\Software\Microsoft\SystemCertificates\TrustedPublisher\Certificates\67E32AAE9D25C040E8E4BC929F162E9C356709C5]
[HKEY_CURRENT_USER\Software\Microsoft\SystemCertificates\TrustedPublisher\Certificates\2CC55F50D717C96978D479EB55B5C24D5FBBCEC0]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\WinTrust\Trust Providers\Software Publishing\Trust Database\0]
  1. Восстановить пользовательские настройки:
    2. [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings]
"MigrateProxy" = %user_setings%
"ProxyEnable" = %user_setings%
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap]
"ProxyBypass" = %user_setings%
"IntranetName" = %user_setings%
"UNCAsIntranet" = %user_setings%
Источник — «http://www.totalmalwareinfo.com/rus/Trojan.Win32.Dialer.oy»
Язык
Видеокурс
Computer and Internet Security Video Tutorials
© 2011 ООО «Лаборатория дизайн и тест». Все права защищены.