Познавательный блог Мобильная врсия

Страницы

Промо

Что такое csrcs.exe и откуда он взялся

Что такое csrcs.exe и откуда он взялся.

Последние пару месяцев наблюдаю на работе активность одного компьютерного вируса. Название вируса - Trojan-Downloader.Win32.AutoIt.fn (в нотификация Касперского) или Win32.HLLW.Autoruner.2815 (в нотификации DrWeb цифры в окончании могут быть разными). Вирус, однако, известен под именем своего исполняемого тела, которое лежит в папке %System% - csrcs.exe.

csrcs1 - Что такое csrcs.exe и откуда он взялся

Данный вирус – троянская программа, нарушающая работоспособность компьютера, написанная в виде приложения Windows (PE EXE-файл). Троянец содержит в себе встроенного IRC-бота, с помощью которого "плохие люди" могут получить доступ к компьютеру пользователя. Заразив компьютер, вирус, используя локальную сеть, старается размножить себя по всем доступным сетевым ресурсам (что самое отвратительное, на компьютерах организаций).

Записывая себя в папку с полным доступом сетевого компьютера, вирус часто рядом создает файлы с 0 размером и именами khq, khs. У меня есть подозрение, что таким образом он оставляет отметку о своем существовании на данной машине.

Nod32 странно игнорирует этот вирус, определяя его как нежелательное ПО. Какое нахер нежелательное ПО?

Комментарии

Комментарий от Ololo [ 9 ноября, 2010, 16:30 ]

У дpузей може появился… через флешку… Аваст! 5 словил и удалил

Комментарий от Антон [ 5 февраля, 2011, 19:48 ]

Технические детали

Троянская программа, нарушающая работоспособность компьютера. Программа является приложением Windows (PE EXE-файл). Имеет размер 419920 байт. Упакована при помощи UPX. Распакованный размер – около 603 КБ. Написана на C++.

Инсталляция

После запуска троянец копирует свое тело в системный каталог Windows под именем “csrcs.exe”:

%System%\csrcs.exe
Далее файлу присваиваются атрибуты “скрытый” и “только чтение”.

Также троянец копирует свое тело во все доступные на запись сетевые ресурсы под случайно сгенерированным именем.

Далее для автоматического запуска при каждом следующем старте системы троянец создает ссылки на свой исполняемый файл в ключах автозапуска системного реестра:

[HKLM\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\Run]
“csrcs” = “%System%\csrcs.exe”

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
“Shell” = “Explorer.exe csrcs.exe”

Деструктивная активность

Троянец изменяет значения параметров следующих ключей системного реестра:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
“Hidden” = “2”
“SuperHidden” = “0”
“ShowSuperHidden” = “0”

[HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
“CheckedValue” = “1”
Таким образом, троянец отключает отображение скрытых файлов и папок.

Троянец производит загрузку файлов со следующих URL:

https://www.whatismyip.com/automation/*****945.asp
https://sousi.extasix.com/*****st.htm
https://lemox.myhome.cx/*****om.htm
Загруженные файлы сохраняются в кеш Internet Explorer.

Также троянец содержит встроенного IRC бота, который позволяет злоумышленнику получить полный доступ к компьютеру пользователя.

По завершению своей работы троянец создает файл командного интерпретатора “suicide.bat” во временном каталоге текущего пользователя Windows:

%Temp%\suicide.bat
В данный файл троянец записывает код для удаления оригинального тела троянца и самого файла командного интерпретатора.

Далее файл “%Temp%\suicide.bat” запускается на выполнение.

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

При помощи (“Диспетчера задач”) завершить троянский процесс.
Удалить параметры в ключах системного реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\Run]
“csrcs” = “%System%\csrcs.exe”

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
“Shell” = “Explorer.exe csrcs.exe”
Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
Удалить файл:
%System%\csrcs.exe
Очистить каталог %Temporary Internet Files%.
Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию)

Написать комментарий








Поиск по сайту

Статистика

Мета

  Разработка и дизайн — StvPromo.ru