• Win32/TrojanDownloader.Mebload.BA

  • 0
Автор
Категория Троян
Дата обнаружения 09.09.2013
Размер 102912
Другие названия
Win32:Sinowal-OG (Avast)
Trojan.Litagody (Symantec)

Краткое описание

Win32/TrojanDownloader.Mebload.БА-это троян, который пытается загружать другие вредоносные программы из Интернета. Троян, вероятно, часть других вредоносных программ.

Как устанавливается

При выполнении троян копирует себя в следующие места:

  • %systemdrive%\­ProgramData\­%variable1%\­%variable2%.dll
  • %systemdrive%\­ProgramData\­%variable1%\­%filename%.dll

Следующие записи реестра:

  • [HKEY_CURRENT_USER\­Software\­Classes\­CLSID\­{118BEDCA-A901-4203-B4F2-ADCB957D1886}\­InprocServer32]
    • "(Default)" = "%systemdrive%\­ProgramData\­%variable1%\­%filename%.dll"
  • [HKEY_CLASSES_ROOT\­CLSID\­{118BEDCA-A901-4203-B4F2-ADCB957D1886}\­InprocServer32]
    • "(Default)" = "%systemdrive%\­ProgramData\­%variable1%\­%filename%.dll"
  • [HKEY_CLASSES_ROOT\­Software\­Classes\­Directory\­Shellex\­CopyHookHandlers\­{118BEDCA-A901-4203-B4F2-ADCB957D1886}]
    • "%variable3%" = "{118BEDCA-A901-4203-B4F2-ADCB957D1886}"
  • "(Default)" = "%systemdrive%\­ProgramData\­%variable1%\­%filename%.dll"
  • "(Default)" = "%systemdrive%\­ProgramData\­%variable1%\­%filename%.dll"
  • "%variable3%" = "{118BEDCA-A901-4203-B4F2-ADCB957D1886}"

%Filename% является одной из следующих строк:

  • mswd
  • mscc
  • msdr
  • msdd
  • msee
  • wsse
  • msseedir
  • lmbd
  • mmdd
Показать больше
Показать меньше

Строка с переменной используется вместо %variable1-3%

Троян создает и запускает новый поток с собственным программным кодом следующих процессах:

  • chrome.exe
  • explorer.exe
  • firefox.exe
  • iexplore.exe

Кража информации

Win32/TrojanDownloader.Mebload.БА-это троян, который крадет конфиденциальную информацию.

Троян собирает следующую информацию:

  • list of running processes
  • installed program components under  [HKEY_LOCAL_MACHINE\­SOFTWARE\­Microsoft\­Windows\­CurrentVersion\­Uninstall] Registry subkeys

Троян пытается отправить собранную информацию на удаленный компьютер

Дополнительная информация

Троян содержит URL-адреса. Он пытается скачать несколько файлов с указанных адресов, используя HTTP протокол.

Загруженные файлы - зашифрованные исполняемые файлы.

Они сохраняются в следующие папки:

  • %systemdrive%\­ProgramData\­%variable1%\­%filename1%.dll
  • %systemdrive%\­ProgramData\­%variable1%\­%filename2%.dat

После расшифровки троян запускает эти файлы.

%Filename1% является одной из следующих строк:

  • mswd
  • mscc
  • msdr
  • msdd
  • msee
  • wsse
  • msseedir
  • lmbd
  • mmdd
Показать больше
Показать меньше

%Filename2% является одной из следующих строк:

  • jdlr
  • elct
  • nudr
  • werr
  • qnud
  • xdor
  • ccdxmmde
  • vvve
  • kdkd
Показать больше
Показать меньше

Троян перехватывает следующие функции Windows API:

  • VirtualQuery (kernel32.dll)
  • NtCreateThread (ntdll.dll)
  • NtCreateThreadEx (ntdll.dll)
  • ZwQueryInformationProcess (ntdll.dll)

Похожие записи

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Нажимая на кнопку "Отправить комментарий", я даю согласие на обработку персональных данных и соглашаюсь c политикой конфиденциальности *

Следите за нами:

Яндекс.Метрика