# Форум на русском языке  > Угрозы информационной безопасности  > Вредоносные программы  > Описания вредоносных программ  >  Trojan-Spy.Win32.Goldun.axw

## priv8v

*Trojan-Spy.Win32.Goldun.axw*

Написан на ассемблере. Антивирусом касперского детектируется как Trojan-Spy.Win32.Goldun.axw.
Сам файл содержит защиту от запуска на виртуальным машинах (в том числе и VMware) и элементы антиэмуляции, достаточно сильно зашифрован (не считая того, что поверх этого он, дабы не детектироваться антивирусами был еще и закриптован разными крипторами - это стандартно, редко в "живой природе" можно встретить некриптованного зловреда). 

*Рассмотрим, что троян делает при запуске:*

Создает следующие файлы:
C:\WINDOWS\system32\upscr.sys
(размер 8.42 Кб)
C:\WINDOWS\system32\upsctl.dll 
(размер 22.2 Кб, упакована UPX, в распакованном виде - 44.2 Кб)

Для того, что бы остаться в системе (загружаться вместе с ней) троян создает раздел:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\upsctl
и прописывает туда свою dll (upsctl.dll)

Внедряется в процесс проводника. Загружает в него свою библиотеку (upsctl.dll). И удаляет сам исполняемый файл (тот, что мы запускали).

*После перезагрузки компьютера делает следующее (укажу лишь существенные и интересные, на мой взгляд, для нас действия):*

*1*). Внедряет свою библиотеку в проводник. После чего уже "от имени" проводника внедряется во все запускаемые нами приложения. 
*2*). Скрывает свои файлы (upscr.sys и upsctl.dll), для этого (и для своевременного внедрения и других действий) перехватывает: 
NtQueryDirectoryFile, IoCreateFile, IoGetCurrentProcess, PsGetCurrentProcess, NtCreateProcess, NtCreateProcessEx, NtOpenProcess, IoCreateDevice...
Стоит отметить, что свои записи в реестре он не скрывает, и в автозапуске его видит даже самый "ленивый" просмотрщик  автозагрузки.
К примеру HJT это дело палит так:
O20 - Winlogon Notify: upsctl - C:\WINDOWS\SYSTEM32\upsctl.dll
(и следовательно можно эту строку "пофиксить" - только это ничего нам не даст, почему - см. далее)
*3*). Для обхода системного фаервола в реестр вносит следующую запись в раздел:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001(2)\Service  s\SharedAccess\Parameters\FirewallPolicy\StandardP  rofile\AuthorizedApplications\List
имя:
\??\C:\WINDOWS\system32\winlogon.exe
значение:
\??\C:\WINDOWS\system32\winlogon.exe :Kiss: :Enabled:explorer
*4*). Для того, что бы загружаться и в безопасном режиме пишет в реестр следующее:
SYSTEM\CurrentControlSet\Control\SafeBoot\Network\  upscr.sys
SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\  upscr.sys
итого получается, что его драйвер будет грузиться и в безопасном режиме
*5*). Блокирует создание/действия файлов с расширением avz
*6*). Также создает следующие разделы и прописывает туда свой драйвер:
HKLM\SYSTEM\ControlSet001\Services\upscr\
HKLM\SYSTEM\CurrentControlSet\Services\upscr\

*Важно*: нужно заметить, что все, создаваемые им, файлы/ключи - имеют статичные (постоянные во времени и пространстве) имена. 


*Борьба с ним:*

*1*). AVPTool сборки 20 сентября 2008 года уверенно лечит этот зловред (детектирует и драйвер и библиотеку) - находит и при перезагрузке удаляет, при этом, трояном успешно блокируется создание AVPTool'ом файлов на диске с расширением *.avz, но они не нужны для автоматической чистки системы и поэтому AVPTool справляется с поставленной задачей.
*2*). CureIt! сборки 20 сентября 2008 находит только библиотеку и вылечить не может - просит произвести лечение при перезагрузке, но перезагрузить компьютер у него не выходит. При аварийной перезагрузке ПК - все остается на своих местах. Более новой версией CureIt'a не проверялась система - т.к какой был в дистрибутивах тем и проверил. 
*3*). Под ограниченным пользователем работать не сможет - вот и защита  :Smiley: 
*4*). Любая проактивная защита (даже самая "ленивая") обнаружила бы его т.к он делает все, что не желательно делать по мнению ПДМ - пишет в system32, в автозагрузку в реестр, внедряется в процесс, загружает в процесс библиотеку и т.д
*5*). Может быть остановлен на последнем этапе - при отсылке данных - любым фаерволом - т.к никакой попытки их обхода (кроме системного) он делать не пробует.
*6*). При запуске такого (подобного) зловреда самое главное - не поддаваться панике - это в первую очередь, во вторую - выдернуть интернет-кабель (что-бы ничего не отослал) и третье - не перезагружать компьютер. Пока компьютер не перезагружен вычистить будет проще. 
*7*). С помощью одиночного файла АВЗ (pingpong) этот зловред можно вылечить, к примеру, таким вот скриптом:



```
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\upscr.sys');
DeleteFile('C:\WINDOWS\system32\upsctl.dll');
DelWinlogonNotifyByKeyName('upsctl');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
```

Хочется отметить, что данный зловред очень хорошо виден в логе АВЗ, даже *очень хорошо*.
Возможно, кому-то в будущем может пригодится, а также для наглядности расскажу где зловред виден в логе сбора информации:
7.1). В загруженных модулях
7.2). В модулях пространства ядра
7.3). В автозапуске
7.4). В "Подозрительные объекты"
7.5). В текстовой части протокола


*8*). Но т.к я люблю просто так "ковыряться" во всем, что относится к системе, то и тут не буду изменять своим привычкам и покажу самый простой способ (по-моему) как от этого зловреда можно избавиться руками.
Т.к ключи в реестре свои он не прячет, то попробуем этим воспользоваться и удалить его руками. Идем в реестр (Пуск - Выполнить - regedit). И делаем действия по инструкции:
8.1). Удаляем раздел:
HKLM\SYSTEM\CurrentControlSet\Services\upscr\

8.2). На вот этом разделе:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\upsctl
щелкаем правой клавишей - вызываем контекстное меню и в выпавшей "менюшке" нажимаем на "Разрешения...". 

Там в окошечке "Группы и пользователи" выделяем строку SYSTEM (нажимаем на нее левой клавишей мыши) и после этого в окошке ниже под названием "Разрешения для SYSTEM" ставим галочки напротив запретить на "Полный доступ" и на "Чтение". Затем нажимаем применить и переименовываем в этом ключе upsctl.dll на что-то другое (например на up3sctl.dll).  После этого спокойно нажимаем на RESET на системном блоке и после перезагрузки руками удаляем оставшиеся ключи и файлы с компьютера.
Стоит отметить, что если этот ключ просто так удалять - он появится снова, поэтому приходится делать вот так...


*Функции зловреда:*

1). Тащит пароли от IE, из The Bat!, грабит формы.
2). Удаляет из IE добавленные элементы (тулбары, BHO...) видимо для более комфортной своей работы.
3). Тащит еще пароли из разных программ - узнать, что за программы чисто визуально я не смог - т.к мне видны лишь имена файлов, в которых они хранят свои пароли - узнавать, что за программы хранят свои пароли в файлах с такими именами я не стал, т.к это довольно-таки проблематично. 
4). Мешает пользователю заходить на следующие сайты:


```
virusinfo.info
customer.symantec.com
download.mcafee.com
mcafee.com
securityresponse.symantec.com
liveupdate.symantec.com
ftp.sophos.com
liveupdate.symantecliveupdate.com
networkassociates.com
```

5). Хитрым способом ворует ключи и пароли от системы Webmoney (собирает по кускам)
6). Собранные данные (пароли...) передает на хост в интернете.

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------

