Тип вируса: троянец-загрузчик, ремувер защитного ПО.
Вредоносная программа распространяется с вредоносного сайта в домене .ru, под видом архивов с личной информацией, принадлежащей пользователям социальной сети ВКонтакте.
Скачиваемый файл является исполняемым exe-файлом, который формируется на вредоносном сайте динамически в зависимости от параметров поиска, которые ввёл пользователь.
При запуске троянца (исполняемый файл запускается без параметров) выводится окно, внешне напоминающее интерфейс Проводника Windows с содержащимися необходимыми приватными сведениями.
 |
Затем программа устанавливает себя в систему в качестве сервиса с именем zipdrivers. После этого созданный сервис запускается и производит поиск установленных в системе антивирусных продуктов. Если был найден один из антивирусных продуктов Dr.Web для Windows, то с вредоносного интернет-сервера скачивается дополнительный модуль, определяемый Dr.Web как Trojan.AVKill.2942.
Далее производится презагрузка компьютера в безопасный режим Windows и удаление из системы антивирусных программ следующих производителей:
Для перезагрузки системы в безопасном режиме Trojan.VkBase.1 редактирует системный файл boot.ini, для Windows Vista и более поздних версий Windows используется системная утилита BCDEdit. В результате этих действий к параметрам загрузки системы добавляется параметр /safeboot:network, что соответствует запуску системы в Безопасном режиме с поддержкой сети.
Для запуска сервиса троянца в Безопасном режиме Windows, в системном реестре создаётся следующая запись:
HKLM\System\CurrentControlSet\Control\SafeBoot\Network\zipdrivers
После загрузки системы в Безопасном режиме сервис вредоносной программы автоматически стартует и удаляет установленный в системе антивирус.
Для удаления из системы продуктов Dr.Web для Windows используется дополнительно загружаемый модуль, эксплуатирующий уязвимость модуля самозащиты, который определяется Dr.Web как Trojan.AVKill.2942, т.к. самозащита в продуктах Dr.Web для Windows функционирует и в Безопасном режиме Windows. В настоящее время данная уязвимость в продуктах Dr.Web для Windows устранена. Для удаления остальных антивирусных продуктов из системы дополнительные модули троянцу не требуются.
Далее троянец отключает сервис контроля учётных записей пользователей (UAC), а также вносит настройки в работу системы, которые позволят впоследствии троянцу запускать исполняемые файлы, загружаемые из Интернета, без уведомления пользователя.
Кроме того, программа создаёт свою копию в файле \WINDOWS\TEMP\tray_tmp.exe и дополнительно устанавливает себя на запуск (помимо сервера) в ветке системного реестра: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
После этого параметры загрузки системы возвращаются в исходное состояние, и система перезагружается в обычном режиме, и загружает далее с вредоносного сервера два исполняемых файла, которые по классификации Dr.Web именуются как Trojan.Winlock.2477 и Trojan.Fakealert.19448. Последний загружается лишь в том случае, если удаление установленного в системе антивируса завершилось успешно.
Trojan.Winlock.2477 записывается в каталог Windows под именем win32boot.exe, после чего запускается.
Trojan.Fakealert.19448 записывается в каталог Windows под именем av_soft.exe, после чего также запускается.
Файл tray_tmp.exe после всех этих действий остаётся в системной папке и продолжает запускаться. При этом сервис zipdrivers также продолжает запускаться, хотя и остаётся неактивным. При своём запуске tray_tmp.exe проверяет наличие файла, соответствующего Trojan.Winlock.2477 и в случае его отсутствия снова загружает с сервера и запускает.
