Суббота, 2025-07-05, 6:34 AM
Приветствую Вас Гость | RSS
Главная | | Регистрация | Вход
Меню сайта
Категории раздела
Вирусы [14]
Статистика
Форма входа
Поиск
Календарь
«  Май 2009  »
Пн Вт Ср Чт Пт Сб Вс
    123
45678910
11121314151617
18192021222324
25262728293031
Архив записей
Друзья сайта
  • Официальный блог
  • Сообщество uCoz
  • FAQ по системе
  • Инструкции для uCoz
    • Вирусный информер
    Новости
    //ms.3dn.ru/
    Главная » 2009 » Май » 18 » Trojan-Dropper.Win32. Small.czj
    Trojan-Dropper.Win32. Small.czj
    		1:06 PM
    Троянская программа, устанавливающая другие программы на компьютере пользователя без его ведома. Является приложением Windows (PE EXE-файл). Имеет размер 21504 байта. Написана на C++. 

    Инсталляция 

    При запуске троянец перемещает файл «%WinDir%\Fonts\wuauclt.exe» и сохраняет его под именем: 

    c:\ss.tmp 

    Далее копирует свой исполняемый файл под именем: 

    %WinDir%\Fonts\wuauclt.exe 

    Для автоматического запуска при каждом следующем старте системы троянец добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:
    [HKLM\Software\Microsoft\Windows\CurrentVersion\policies\explorer\run]
    "360safe" = "%WinDir%\Fonts\wuauclt.exe"

    Деструктивная активность 

    Троянец выполняет следующие действия: 

    * изменяет значения следующих ключей системного реестра:
      [HKCU\Software\Microsoft\Internet Explorer\Main]
      "Start Page" = "http://www2.07129.com/"

      [HKCR\CLSID\{871C5380-42A0-1069-A2EA-
      08002B30309D}\shell\OpenHomePage\Command]
      "(Default)" = ""C:\Program Files\Internet Explorer\iexplore.exe" www2.07129.com"

      [HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel]
      "Homepage" = "1" 

    Это приводит к изменению стартовой и домашней страницы Internet Explorer на «http://www2.07129.com/» . 

    * извлекает из своего тела файл и сохраняет его под именем: 
      %WinDir%\Downloaded Program Files\alg.exe

    Данный файл имеет размер 3740 байт и детектируется Антивирусом Касперского как Exploit.Win32.IMG-WMF.fk 

    * запускает созданный файл с параметром «http://***wuc8.com/aa.exe» 

    * извлекает из своего тела файл и сохраняет его под следующим именем, после чего запускает на исполнение:
      %WinDir%\Fonts\TIMPIatform.exe

    Данный файл имеет размер 12288 байт и детектируется Антивирусом Касперского как Trojan-Downloader.Win32.Agent.bpeh 

    Кроме того каждые 25 минут троянец открывает в окне Internet Explorer ссылки:
    http://joke.lia***9.com/
    http://msm.moneyinf***.com/

    Категория: Вирусы | Просмотров: 1001 | Добавил: Admin | Рейтинг: 0.0/0 |
    //ms.3dn.ru © 2025