Trojan.Tannick

Trojan.Tannick - это троян, мониторящий Web сайты, которые посещает пользователь.

Trojan.Tannick - это троян, мониторящий Web сайты, которые посещает пользователь.

При запуске Trojan.Tannick выполняет следующие действия:

1.Создает пустой файл xtempx.xxx в %system% директории

2. Копирует себя в %system%\X3YY директорию или в "Microsoft\X3YY" поддиректорию директории, прописанной в реестре:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\AppData 
имя файла <8 случайных символов>.exe. 

3. Прописывается в следующих ключах реестра:

 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"x3yy" = <path to Trojan>   

4. Пытается прочитать конфигурационную информацию из своего тела. Информация включает следующее:

Два URL, из которых троян пытается загрузить файлы

FTP сайт, на который троян пытается отослать украденную информацию

Имя пользователя и пароль, которые использует троян, чтобы войти на FTP сервер.

5. Пытается загрузить и выполнить файл из одного из URL из шага 4.

6. Заменяет загрузочную страницу Internet Explorer на "about:blank".

7. Пытается удалить следующие процессы:

# ZONEALARM.EXE
# WFINDV32.EXE
# WEBSCANX.EXE
# VSSTAT.EXE
# VSHWIN32.EXE
# VSECOMR.EXE
# VSCAN40.EXE
# VETTRAY.EXE
# VET95.EXE
# TDS2-NT.EXE
# TDS2-98.EXE
# TCA.EXE
# TBSCAN.EXE
# SWEEP95.EXE
# SPHINX.EXE
# SMC.EXE
# SERV95.EXE
# SCRSCAN.EXE
# SCANPM.EXE
# SCAN95.EXE
# SCAN32.EXE
# SAFEWEB.EXE
# RESCUE.EXE
# RAV7WIN.EXE
# RAV7.EXE
# PERSFW.EXE
# PCFWALLICON.EXE
# PCCWIN98.EXE
# PAVW.EXE
# PAVSCHED.EXE
# PAVCL.EXE
# PADMIN.EXE
# OUTPOST.EXE
# NVC95.EXE
# NUPGRADE.EXE
# NORMIST.EXE
# NMAIN.EXE
# NISUM.EXE
# NAVWNT.EXE
# NAVW32.EXE
# NAVNT.EXE
# NAVLU32.EXE
# NAVAPW32.EXE
# N32SCANW.EXE
# MPFTRAY.EXE
# MOOLIVE.EXE
# LUALL.EXE
# LOOKOUT.EXE
# LOCKDOWN2000.EXE
# JEDI.EXE
# IOMON98.EXE
# IFACE.EXE
# ICSUPPNT.EXE
# ICSUPP95.EXE
# ICMON.EXE
# ICLOADNT.EXE
# ICLOAD95.EXE
# IBMAVSP.EXE
# IBMASN.EXE
# IAMSERV.EXE
# IAMAPP.EXE
# F-STOPW.EXE
# FRW.EXE
# FP-WIN.EXE
# F-PROT95.EXE
# F-PROT.EXE
# FPROT.EXE
# FINDVIRU.EXE
# F-AGNT95.EXE
# ESPWATCH.EXE
# ESAFE.EXE
# ECENGINE.EXE
# DVP95_0.EXE
# DVP95.EXE
# CLEANER3.EXE
# CLEANER.EXE
# CLAW95CF.EXE
# CLAW95.EXE
# CFINET32.EXE
# CFINET.EXE
# CFIAUDIT.EXE
# CFIADMIN.EXE
# BLACKICE.EXE
# BLACKD.EXE
# AVWUPD32.EXE
# AVWIN95.EXE
# AVSCHED32.EXE
# AVPUPD.EXE
# AVPTC32.EXE
# AVPM.EXE
# AVPDOS32.EXE
# AVPCC.EXE
# AVP32.EXE
# AVP.EXE
# AVNT.EXE
# AVKSERV.EXE
# AVGCTRL.EXE
# AVE32.EXE
# AVCONSOL.EXE
# AUTODOWN.EXE
# APVXDWIN.EXE
# ANTI-TROJAN.EXE
# ACKWIN32.EXE
# _AVPM.EXE
# _AVPCC.EXE
# _AVP32.EXE
# NVSVC32.EXE
# NPROTECT.EXE
# SAVSCAN.EXE
# ARMOR2NET.EXE

8. Открывает и загружает файл %system%\unic_32.dll. Этот файл выполняет следующие действия:

Открывает пустой файл %system%\op32mp.log

Мониторит Web сайты, которые посещает пользователь и регистрирует информацию в файл named _post.log, который создается в той же директории в которую троян копируется в шаге 2.

9. Регистрирует себя как сервис.