Novi ''policijski'' Trojanac se odupire pokušajima uklanjanja sa zaraženog računara

Opisi virusa, 31.01.2013, 07:15 AM

Stručnjaci firme AVG, proizvođača antivirusa, upozoravaju na novi malver iz grupe takozvanih „policijskih Trojanaca“ koji radi sve ono što i drugi ranije viđeni malveri ovog tipa, ali je po nečemu ipak jedinstven - on onemogućava pokušaje da se ukloni blokada sa fajlova kojima korisnik računara ne može da pristupi zbog infekcije.

Trojanac prikazuje uobičajeno, dobro poznato upozorenje da je korisnik počinio neko krivično delo i da će računar ostati zaključan a fajlovi šifrirani sve dok ne plati kaznu za svoj prestup.

U većini slučajeva infekcije policijskim Trojancima, malver se može pronaći na računaru i ukloniti bez plaćanja kazne za navodni prestup. U ovom slučaju, Trojanac šifrira slike, dokumenta i izvršne fajlove kako bi onemogućio pokušaje da bude uklonjen sa računara. Sistem ipak nije u potpunosti blokiran, što znači da Windows-ovi fajlovi nisu šifrovani, što nije uobičajeno za ovakve Trojance. Zaraženi računari i dalje mogu da funkcionišu ali podaci i mnogi programi neće raditi.

Nakon pokretanja malicioznog programa, malver se nasumično umnožava i ubacuje svoj kod u sistemski proces. Sistemski proces izvršava kopiju koda iz „%TEMP% foldera, kreirajući ctfmon.exe ili scvhost.exe procese sa ubačenim kodom.

Malver najpre generiše jedinstveni ID računara, a zatim koristi taj ID i niz „Qqasd123zxc“ da bi proizveo ključ za enkripciju sa kripto API funkcijama ka što su „advapi32!CryptHashData“ i „advapi32!CryptDeriveKey“ tako da napadač može kreirati ključ svaki put kada koristi taj niz. Malver potom šalje zahteve sa ID-jem računara serveru za komandu i kontrolu, šifrira komunikaciju sa serverom prvim ključem i omogućava Trojancu da ih dešifrira na zaraženim računarima.

Drugi ključ je kreiran sa „advapi32!CryptGenKey“. Ta funkcija će svaki put kada se koristi kreirati nasumično izabrani ključ koji za razliku od prvog ključa ne može biti ponovo kreiran.

Lista fajlova koje malver šifrira je definisana, i oni su šifrirani sa „advapi32!CryptEncrypt“ uz pomoć drugog ključa pre nego što se poznato obaveštenje o tome da je računar otet zbog navodnog korisnikovog prestupa pojavi na ekranu.

U tom trenutku, napadačima drugi ključ i može šifrirati i dešifrovati fajlove ukoliko tako odluči. Malver takođe onemogućava regedit, task manager i msconfig. AVG, čiji su stručnjaci upozorili korisnike na novog Trojanca, detektuje ovaj malver kao „Trojan horse Generic31.LBT“.