Trojan.Win32.Dialer.mw
Trojan jest instalowany na komputerze dopiero po uruchomieniu zainfekowanego pliku. Dodatkowo spe艂nione musz膮 by膰 nast臋puj膮ce warunki:
- parametr –install musi znajdowa膰 si臋 w wierszu polece艅;
- trojan nie by艂 instalowany na atakowanym komputerze lub by艂 instalowany dawniej ni偶 21 dni temu; data ostatniej instalacji trojana mo偶e zosta膰 okre艣lona na podstawie daty ostatniego wpisu w pliku %WinDir%imsins_.bin - wraz z ka偶d膮 instalacj膮 trojana do pliku dodawany jest 1 bajt;
- poni偶sze obiekty nie znajduj膮 si臋 w atakowanym komputerze:
- %Program Files% 190 Warner
- %Program Files%a2
- %Program Files%CoolspotDialer Control
- %Program Files%Popupkiller
- %Program Files%MicroSoft AntiSpyware
- %System%DRIVERSvmx_svga.sys
- %System%DRIVERSvpc-s3.sys
Podczas instalacji trojan mo偶e pobiera膰 pewne parametry z pliku cookie websitesign.
Program wysy艂a 偶膮danie na adres http://xdl.www2.******.com/kb2.php w celu pobrania swojej konfiguracji w zaszyfrowanej postaci. Jest ona zapisywana do pliku %WinDir%KB842252.log. Trojan pobiera z tej strony tak偶e inne dane i zapisuje je do pliku %WinDir%switchagreement.txt.
Je偶eli podczas instalacji w wierszu polece艅 znajduje si臋 parametr -s, plik trojana zostanie skopiowany do pliku %System%usbn.exe i zarejestrowany w poni偶szym kluczu:
"usbn"="%System%usbn.exe"
W ten spos贸b trojan zapewnia sobie uruchamianie wraz z ka偶dym startem systemu Windows.
Nazwa pliku mo偶e si臋 r贸偶ni膰 w zale偶no艣ci od wersji trojana.
Nast臋pnie szkodnik tworzy poni偶sze warto艣ci w kluczach rejestru systemowego:
"alternative"=1
Po wykonaniu tych operacji plik usbn.exe jest uruchamiany.
Je偶eli podczas instalacji w wierszu polece艅 znajduje si臋 parametr -d, plik trojana zostanie skopiowany do pliku %WinDir%internt.exe. Szkodnik podejmie pr贸b臋 utworzenia skr贸t贸w do tego pliku:
- na pulpitach wszystkich u偶ytkownik贸w:
XXX NOW
TheDoctor
PORN JACK POT - w menu Start wszystkich u偶ytkownik贸w:
LipGame
Dating
WIN PORN DVD
Trojan nie mo偶e przetwarza膰 rosyjskich 艣cie偶ek dost臋pu do plik贸w. Je偶eli zatem szkodnik zostanie uruchomiony w rosyjskiej wersji systemu Windows, skr贸ty nie zostan膮 utworzone.
Je偶eli podczas instalacji w wierszu polece艅 znajduje si臋 ci膮g installbf, oryginalny plik trojana zostanie usuni臋ty natychmiast po zako艅czeniu instalacji.
Je偶eli ci膮g installbf nie znajduje si臋 w wierszu polece艅, usuni臋te zostan膮 poni偶sze pliki:
C:explorer.cab C:inst.hta C:inst.exe
Po uruchomieniu bez parametr贸w trojan wy艣wietli okno konsoli zawieraj膮ce tekst:
FORMAT volume [/FS:file-system] [/V:label] [/Q] [/A:size] [/C] [/X]
i zako艅czy swoje dzia艂anie.
Gdy plik usbn.exe zostanie uruchomiony z parametrem –go, szkodnik podejmie pr贸b臋 zamkni臋cia okien zawieraj膮cych ci膮g #32770 w nazwie klasy, pobrania danych o aktywnych po艂膮czeniach telefonicznych i zapisania ich w poni偶szym kluczu:
"areacode"
"phonenumber"
"username"
"domain"
Nast臋pnie szkodnik modyfikuje wszystkie nazwy u偶ytkownik贸w i numery lokalne dla wszystkich po艂膮cze艅 telefonicznych. Trojan zast臋puje je warto艣ciami zapisanymi w pliku konfiguracyjnym KB842252.log. Plik ten jest pobierany z Internetu podczas instalacji trojana.
Po up艂yni臋ciu okresu czasu okre艣lonego w pliku konfiguracyjnym (pobieranym z adresu http://xdl.www2.******.com/kb2.php) trojan usuwa plik usbn.exe i przywraca wszystkie parametry po艂膮cze艅 do ich pierwotnej postaci.
Klucze utworzone przez trojana w rejestrze tak偶e s膮 usuwane.
Je偶eli jedna z ikon utworzonych przez trojana zostanie klikni臋ta, plik internt.exe zostanie uruchomiony z parametrem -go (je偶eli w danym momencie 偶adna inna kopia pliku internt.exe nie jest ju偶 uruchomiona). Po uruchomieniu program zrywa wszystkie aktywne po艂膮czenia telefoniczne i cyklicznie nawi膮zuje i zrywa po艂膮czenia z szeregiem numer贸w pobieranych z pliku konfiguracyjnego.
Nast臋pnie trojan wysy艂a 偶膮danie HTTP na adres http://www.********.nu/members.asp?cat=. W 偶膮daniu tym przesy艂ane s膮 pewne z parametr贸w szkodnika. Ca艂kowita liczba uruchomie艅 programu w tym trybie jest zapisana w pliku konfiguracyjnym. Po zaliczeniu wszystkich uruchomie艅, lub gdy up艂ynie 30 dni od daty zapisanej w pliku konfiguracyjnym, szkodnik usuwa plik internt.exe i wszystkie utworzone przez siebie skr贸ty.
Liczba uruchomie艅 trojana przechowywana jest w poni偶szym kluczu:
"cnt"
W celu usuni臋cia szkodnika z systemu nale偶y wykona膰 nast臋puj膮ce operacje:
- Usun膮膰 z rejestru nast臋puj膮cy klucz:
[HKLMSoftwareMicrosoftWindowsCurrentVersionRun]
"usbn"="%System%usbn.exe" - Przy u偶yciu Mened偶era zada艅 zamkn膮膰 proces:
usbn.exe
- Usun膮膰 z dysku nast臋puj膮ce pliki:
%System%usbn.exe %WinDir%internt.exe
- Przywr贸ci膰 pierwotne parametry wszystkich po艂膮cze艅 telefonicznych
- Usun膮膰 skr贸ty utworzone przez trojana w menu Start oraz na pulpicie
- Przeprowadzi膰 pe艂ne skanowanie komputera (w tym celu mo偶na skorzysta膰 z wersji testowej programu Kaspersky Anti-Virus)