Trojan.Qipian

Новости

Тип:

Троян Трояны - вредоносные программы, выполняющие различные несанкционированные действия в системе. Это может быть, в частности, сбор и отправка информации, загрузка из интернета и выполнение другого кода, участие в DoS-атаках, рассылка спама. В отличие от вирусов и червей, трояны не распространяются самостоятельно. Как правило, скрывают своё присутствие в системе и загружаются автоматически после каждого запуска системы.

Операционная система:

Windows

Уровень:

низкий

Размер:

29.610 байт, 28.672 байта

Признаки

При запуске создает в системной директории Windows (%System%) файлы, чьеимя совпадает с именем запущенного файла-носителя, и расширениями .exe, .asf,.dfg и .wmv, а также файл с именем из случайных цифр и расширением .dat.

Создает в реестре следующие записи:

  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_MESSENGER\0000\Control\”NewlyCreated” = “0″
  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_MESSENGER\0000\Control\”ActiveService” = “Messenger”
  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_MESSENGER\0000\”Service” = “Messenger”
  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_MESSENGER\0000\”Legacy” = “1″
  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_MESSENGER\0000\”ConfigFlags” = “0″
  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_MESSENGER\0000\”Class” = “LegacyDriver”
  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_MESSENGER\0000\”ClassGUID” = “{8ECC055D-047F-11D1-A537-0000F8753ED1}”
  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_MESSENGER\0000\”DeviceDesc” = “Messenger”
  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_MESSENGER\”NextInstance” = “1″
  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Messenger\Enum\”0″ = “Root\LEGACY_MESSENGER\0000″
  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Messenger\Enum\”Count” = “1″
  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Messenger\Enum\”NextInstance” = “1″
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MESSENGER\0000\Control\”NewlyCreated” = “0″
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MESSENGER\0000\Control\”ActiveService” = “Messenger”
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MESSENGER\0000\”Service” = “Messenger”
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MESSENGER\0000\”Legacy” = “1″
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MESSENGER\0000\”ConfigFlags”= “0″
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MESSENGER\0000\”Class” = “LegacyDriver”
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MESSENGER\0000\”ClassGUID” = “{8ECC055D-047F-11D1-A537-0000F8753ED1}”
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MESSENGER\0000\”DeviceDesc” = “Messenger”
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MESSENGER\”NextInstance” = “1″
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Messenger\Enum\”0″ = “Root\LEGACY_MESSENGER\0000″
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Messenger\Enum\”Count” = “1″
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Messenger\Enum\”NextInstance” = “1″

Также модифицирует следующие записи реестра (создает их, если они не существуют):

  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Messenger\”Type” = “110″
  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Messenger\”Start” = “2″
  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Messenger\”ImagePath” = “C:\WINDOWS\system32\[ORIGINALLY EXECUTED FILE NAME].exe -k netsvcs”
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Messenger\”Type” = “110″
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Messenger\”Start” = “2″
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Messenger\”ImagePath” = “C:\WINDOWS\system32\[ORIGINALLY EXECUTED FILE NAME].exe -k netsvcs”

Журнал нажатых клавиш сохраняется в файле .hke с именем, совпадающим с именемпервоначально запущенного носителя, в системной директории Windows.

Периодически отсылает данные и обновляет себя через URL [http://]packer.8800.org:53/3008[???]и [http://]nodns2.qipian.org/ccs[???].

ЗАЩИТА

  • Отключить функцию “Восстановление системы” (для Windows ME и XP)
  • Полностью проверить систему антивирусом с обновлённой базой сигнатур
  • Удалить все ключи реестра, созданные вредоносной программой; восстановить изменённые настройки (использовать regedit.exe)

Действие

Троян для платформы Windows с клавиатурным шпионом. Периодически отправляет данные - журнал нажатых клавиш - на сайт атакующего.