Trojan.Win32.Dialer.mw

Jest to ko艅 troja艅ski maj膮cy posta膰 pliku PE EXE. Powsta艂 przy u偶yciu 艣rodowiska programistycznego Microsoft Visual C++ a jego rozmiar to 23 552 bajt贸w (kompresja UPX, rozmiar po rozpakowaniu - oko艂o 57 KB).

Instalacja

Trojan jest instalowany na komputerze dopiero po uruchomieniu zainfekowanego pliku. Dodatkowo spe艂nione musz膮 by膰 nast臋puj膮ce warunki:

  • parametr –install musi znajdowa膰 si臋 w wierszu polece艅;
  • trojan nie by艂 instalowany na atakowanym komputerze lub by艂 instalowany dawniej ni偶 21 dni temu; data ostatniej instalacji trojana mo偶e zosta膰 okre艣lona na podstawie daty ostatniego wpisu w pliku %WinDir%imsins_.bin - wraz z ka偶d膮 instalacj膮 trojana do pliku dodawany jest 1 bajt;
  • poni偶sze obiekty nie znajduj膮 si臋 w atakowanym komputerze:

    • %Program Files%190 Warner
    • %Program Files%a2
    • %Program Files%CoolspotDialer Control
    • %Program Files%Popupkiller
    • %Program Files%MicroSoft AntiSpyware
    • %System%DRIVERSvmx_svga.sys
    • %System%DRIVERSvpc-s3.sys

Podczas instalacji trojan mo偶e pobiera膰 pewne parametry z pliku cookie websitesign.

Program wysy艂a 偶膮danie na adres http://xdl.www2.******.com/kb2.php w celu pobrania swojej konfiguracji w zaszyfrowanej postaci. Jest ona zapisywana do pliku %WinDir%KB842252.log. Trojan pobiera z tej strony tak偶e inne dane i zapisuje je do pliku %WinDir%switchagreement.txt.

Je偶eli podczas instalacji w wierszu polece艅 znajduje si臋 parametr -s, plik trojana zostanie skopiowany do pliku %System%usbn.exe i zarejestrowany w poni偶szym kluczu:

[HKLMSoftwareMicrosoftWindowsCurrentVersionRun]
"usbn"="%System%usbn.exe"

W ten spos贸b trojan zapewnia sobie uruchamianie wraz z ka偶dym startem systemu Windows.

Nazwa pliku mo偶e si臋 r贸偶ni膰 w zale偶no艣ci od wersji trojana.

Nast臋pnie szkodnik tworzy poni偶sze warto艣ci w kluczach rejestru systemowego:

[HKLMSoftwareMicrosoftWindowsCurrentVersionTelephonySettings]
"alternative"=1

Po wykonaniu tych operacji plik usbn.exe jest uruchamiany.

Je偶eli podczas instalacji w wierszu polece艅 znajduje si臋 parametr -d, plik trojana zostanie skopiowany do pliku %WinDir%internt.exe. Szkodnik podejmie pr贸b臋 utworzenia skr贸t贸w do tego pliku:

  1. na pulpitach wszystkich u偶ytkownik贸w:


    XXX NOW

    TheDoctor

    PORN JACK POT
  2. w menu Start wszystkich u偶ytkownik贸w:


    LipGame

    Dating

    WIN PORN DVD

Trojan nie mo偶e przetwarza膰 rosyjskich 艣cie偶ek dost臋pu do plik贸w. Je偶eli zatem szkodnik zostanie uruchomiony w rosyjskiej wersji systemu Windows, skr贸ty nie zostan膮 utworzone.

Je偶eli podczas instalacji w wierszu polece艅 znajduje si臋 ci膮g installbf, oryginalny plik trojana zostanie usuni臋ty natychmiast po zako艅czeniu instalacji.

Je偶eli ci膮g installbf nie znajduje si臋 w wierszu polece艅, usuni臋te zostan膮 poni偶sze pliki:

C:explorer.cab
C:inst.hta
C:inst.exe

Funkcje trojana

Po uruchomieniu bez parametr贸w trojan wy艣wietli okno konsoli zawieraj膮ce tekst:

FORMAT volume [/FS:file-system] [/V:label] [/Q] [/A:size] [/C] [/X]

i zako艅czy swoje dzia艂anie.

Gdy plik usbn.exe zostanie uruchomiony z parametrem –go, szkodnik podejmie pr贸b臋 zamkni臋cia okien zawieraj膮cych ci膮g #32770 w nazwie klasy, pobrania danych o aktywnych po艂膮czeniach telefonicznych i zapisania ich w poni偶szym kluczu:

[HKLMSoftwareMicrosoftWindowsCurrentVersionTelephonySettings]
"areacode"
"phonenumber"
"username"
"domain"

Nast臋pnie szkodnik modyfikuje wszystkie nazwy u偶ytkownik贸w i numery lokalne dla wszystkich po艂膮cze艅 telefonicznych. Trojan zast臋puje je warto艣ciami zapisanymi w pliku konfiguracyjnym KB842252.log. Plik ten jest pobierany z Internetu podczas instalacji trojana.

Po up艂yni臋ciu okresu czasu okre艣lonego w pliku konfiguracyjnym (pobieranym z adresu http://xdl.www2.******.com/kb2.php) trojan usuwa plik usbn.exe i przywraca wszystkie parametry po艂膮cze艅 do ich pierwotnej postaci.

Klucze utworzone przez trojana w rejestrze tak偶e s膮 usuwane.

Je偶eli jedna z ikon utworzonych przez trojana zostanie klikni臋ta, plik internt.exe zostanie uruchomiony z parametrem -go (je偶eli w danym momencie 偶adna inna kopia pliku internt.exe nie jest ju偶 uruchomiona). Po uruchomieniu program zrywa wszystkie aktywne po艂膮czenia telefoniczne i cyklicznie nawi膮zuje i zrywa po艂膮czenia z szeregiem numer贸w pobieranych z pliku konfiguracyjnego.

Nast臋pnie trojan wysy艂a 偶膮danie HTTP na adres http://www.********.nu/members.asp?cat=. W 偶膮daniu tym przesy艂ane s膮 pewne z parametr贸w szkodnika. Ca艂kowita liczba uruchomie艅 programu w tym trybie jest zapisana w pliku konfiguracyjnym. Po zaliczeniu wszystkich uruchomie艅, lub gdy up艂ynie 30 dni od daty zapisanej w pliku konfiguracyjnym, szkodnik usuwa plik internt.exe i wszystkie utworzone przez siebie skr贸ty.

Liczba uruchomie艅 trojana przechowywana jest w poni偶szym kluczu:

[HKLMSoftwareMicrosoftWindowsCurrentVersionTelephony]
"cnt"

Usuwanie szkodnika z zainfekowanego systemu

W celu usuni臋cia szkodnika z systemu nale偶y wykona膰 nast臋puj膮ce operacje:

  • Usun膮膰 z rejestru nast臋puj膮cy klucz:

    [HKLMSoftwareMicrosoftWindowsCurrentVersionRun]
    "usbn"="%System%usbn.exe"

  • Przy u偶yciu Mened偶era zada艅 zamkn膮膰 proces:
    usbn.exe
    
  • Usun膮膰 z dysku nast臋puj膮ce pliki:
    %System%usbn.exe
    %WinDir%internt.exe
    

  • Przywr贸ci膰 pierwotne parametry wszystkich po艂膮cze艅 telefonicznych
  • Usun膮膰 skr贸ty utworzone przez trojana w menu Start oraz na pulpicie
  • Przeprowadzi膰 pe艂ne skanowanie komputera (w tym celu mo偶na skorzysta膰 z wersji testowej programu Kaspersky Anti-Virus)