Trojan.Win32. FraudPack.amqa
Троянская программа, выполняющая деструктивные действия на компьютере пользователя. Является приложением Windows (PE-EXE файл). Имеет размер 59904 байта. Написана на C++.
Деструктивная активность
После запуска троянец читает значение параметра "DigitalProductId" ключа системного реестра:
[HKLM\Software\Microsoft\Windows NT\CurrentVersion]
Затем вредонос определяет путь к каталогу диспетчера печати (Print Processor Directory) и затем извлекает в него из своего тела динамическую библиотеку с именем:
%System%\spool\prtprocs\w32x86\SMWinPrn.dat
Данный файл имеет размер 16896 байт и детектируется антивирусом Касперского как Trojan.Win32.Patched.fr. Затем вредонос проверяет запущена ли служба печати "Spooler". Если служба не активна – троянец запускает ее на выполнение. Далее троянец использует механизмы службы диспетчера печати для обхода поведенческой защиты. Троянец осуществляет вызов API функцию AddPrintProcessor() для запуска на выполнение извлеченной вредоносной библиотеки "SMWinPrn.dat" в контексте доверенного процесса печати "spoolsv.exe". После этого троянец удаляет библиотеку. Также троянец создает следующие ключи в системном реестре:
[HKLM\Software\Settings]
CryptoHash = <hex>
ErrorControl = <hex>
CoreSettings = <hex>
HashSeed = <hex>
DriveSettings = <hex>
где hex – набор значений в шестнадцатеричной системе счисления.
[HKLM\System\CurrentControlSet\Enum\Root\LEGACY_SFC \0000\Control]
*NewlyCreated* = 0x00000000
ActiveService = "sfc"
[HKLM\System\CurrentControlSet\Enum\Root\LEGACY_SFC \0000]
Service = "sfc"
Legacy = 0x00000001
ConfigFlags = 0x00000000
Class = "LegacyDriver"
ClassGUID = "{8ECC055D-047F-11D1-A537-0000F8753ED1}"
DeviceDesc = "sfc"
[HKLM\System\CurrentControlSet\Enum\Root\LEGACY_SFC]
NextInstance = 0x00000001
[HKLM\System\CurrentControlSet\Services\sfc\Enum]
0 = "Root\LEGACY_SFC\0000"
Count = 0x00000001
NextInstance = 0x00000001
[HKLM\System\CurrentControlSet\Services\sfc]
Type = 0x00000001
__________________
|