название: Trojan.Win32.LipGame.a
размер: 49152 байта
инсталяция:
Инсталляция троянца производится при запуске на выполнение файла с вредоносной программой и выполнении следующих условий:
Программа получает по запросу к URL http://xdl.www2.******.com/kb2.php свои настройки в зашифрованном виде и сохраняет их в файле %WinDir%\KB842252.log. Также программа получает данные с этого же сайта и сохраняет их в файле %WinDir%\switchagreement.txt.
В случае наличия при инсталляции в командной строке параметра «-s» запущенный файл копируется в файл %System%\itunesff.exe и регистрируется в автозапуске системного реестра:
Таким образом, данный файл будет автоматически запускаться при каждой загрузке ОС.
После этого устанавливается следующее значение ключа реестра:
Затем скопированный файл itunesff.exe запускается.
В случае наличия при установке в командной строке параметра «-d», программа копирует себя в файл %WinDir%\internt.exe, затем пытается создать несколько ярлыков к нему:
======
======
======
======
======
Троянская программа некорректно обрабатывает русскоязычные пути к файлам. Вследствие этого при запуске программы на русифицированных версиях ОС Windows ярлыки не создаются.
Если в командной строке при установке присутствовала подстрока «installbf», то после завершения установки удаляется оригинальный файл программы. В противном случае удаляются следующие файлы:
Действие на систему:
При запуске без параметров программа выводит консольное окно, в котором выводит строку «FORMAT volume [/FS:file-system] [/V:label] [/Q] [/A:size] [/C] [/X]» и завершает своё выполнение.
При запуске файла itunesff.exe с параметром «-go» программа пытается закрыть окна, содержащие в имени класса строку «#32770», получает данные об открытых телефонных соединениях и сохраняет их в следующем ключе реестра:
Затем программа у всех телефонных соединений изменяет имя пользователя и локальный номер телефона на значения, заданные в файле с настройками KB842252.log, загруженном из интернета при инсталляции.
По прошествии 30 дней после времени, указанного в файле с настройками, полученном с http://xdl.www2.******.com/kb2.php, программа удаляет файл itunesff.exe и возвращает параметры соединений в исходные значения. Также удаляются созданные программой ключи реестра.
При активации одной из иконок производится запуск файла internt.exe c параметром «-go», если на момент запуска нет другой, уже выполняющейся копии internt.exe. После запуска программа разрывает все активные телефонные соединения, затем несколько раз устанавливает и разрывает соединения с различными телефонными номерами, взятыми из файла с настройками.
После этого производит HTTP-запрос к URL http://www.********.nu/members.asp?cat=, передавая в нём некоторые свои параметры. Общее число запусков программы в таком режиме указывается в файле настроек. После совершения данного числа запусков или по прошествии 30 дней после времени, указанного в файле с настройками, программа удаляет файл internt.exe и созданные ей ярлыки.
Для сохранения числа уже произведенных запусков используется следующий ключ реестра:
удаление:
1) Удалить следующий ключ реестра:
2) Завершить выполнение процесса с именем itunesff.exe.
3) Удалить следующие файлы:
размер: 49152 байта
инсталяция:
Инсталляция троянца производится при запуске на выполнение файла с вредоносной программой и выполнении следующих условий:
- в командной строке присутствует параметр «-install»;
- программа установлена более 21 дня назад или не установлена вообще (определение даты последней установки производится по дате последней записи в файл %WinDir%\imsins_.bin, в который при каждой инсталляции производится запись 1 байта);
- в системе отсутствуют следующие объекты:
Код:%Program Files%\0190 Warner %Program Files%\a2 %Program Files%\CoolspotD\ialer Control %Program Files%\Popupkiller %Program Files%\MicroSoft AntiSpyware %System%\DRIVERS\vmx_svga.sys %System%\DRIVERS\vpc-s3.sys
Программа получает по запросу к URL http://xdl.www2.******.com/kb2.php свои настройки в зашифрованном виде и сохраняет их в файле %WinDir%\KB842252.log. Также программа получает данные с этого же сайта и сохраняет их в файле %WinDir%\switchagreement.txt.
В случае наличия при инсталляции в командной строке параметра «-s» запущенный файл копируется в файл %System%\itunesff.exe и регистрируется в автозапуске системного реестра:
Код:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"itunesff"="%System%\itunesff.exe"После этого устанавливается следующее значение ключа реестра:
Код:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Telephony\Settings]
"alternative"=1В случае наличия при установке в командной строке параметра «-d», программа копирует себя в файл %WinDir%\internt.exe, затем пытается создать несколько ярлыков к нему:
======
======
======
======
======
Троянская программа некорректно обрабатывает русскоязычные пути к файлам. Вследствие этого при запуске программы на русифицированных версиях ОС Windows ярлыки не создаются.
Если в командной строке при установке присутствовала подстрока «installbf», то после завершения установки удаляется оригинальный файл программы. В противном случае удаляются следующие файлы:
Код:
C:\explorer.cab
C:\inst.hta
C:\inst.exeПри запуске без параметров программа выводит консольное окно, в котором выводит строку «FORMAT volume [/FS:file-system] [/V:label] [/Q] [/A:size] [/C] [/X]» и завершает своё выполнение.
При запуске файла itunesff.exe с параметром «-go» программа пытается закрыть окна, содержащие в имени класса строку «#32770», получает данные об открытых телефонных соединениях и сохраняет их в следующем ключе реестра:
Код:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Telephony\Settings]
"areacode"
"phonenumber"
"username"
"domain"По прошествии 30 дней после времени, указанного в файле с настройками, полученном с http://xdl.www2.******.com/kb2.php, программа удаляет файл itunesff.exe и возвращает параметры соединений в исходные значения. Также удаляются созданные программой ключи реестра.
При активации одной из иконок производится запуск файла internt.exe c параметром «-go», если на момент запуска нет другой, уже выполняющейся копии internt.exe. После запуска программа разрывает все активные телефонные соединения, затем несколько раз устанавливает и разрывает соединения с различными телефонными номерами, взятыми из файла с настройками.
После этого производит HTTP-запрос к URL http://www.********.nu/members.asp?cat=, передавая в нём некоторые свои параметры. Общее число запусков программы в таком режиме указывается в файле настроек. После совершения данного числа запусков или по прошествии 30 дней после времени, указанного в файле с настройками, программа удаляет файл internt.exe и созданные ей ярлыки.
Для сохранения числа уже произведенных запусков используется следующий ключ реестра:
Код:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Telephony]
"cnt"1) Удалить следующий ключ реестра:
Код:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"itunesff"="%System%\itunesff.exe"3) Удалить следующие файлы:
Код:
%System%\itunesff.exe
%WinDir%\internt.exe