Trojan.Tannick

Trojan.Tannick - это троян, мониторящий Web сайты, которые посещает пользователь.

Trojan.Tannick - это троян, мониторящий Web сайты, которые посещает пользователь.

При запуске Trojan.Tannick выполняет следующие действия:

1.Создает пустой файл xtempx.xxx в %system% директории

2. Копирует себя в %system%\X3YY директорию или в "Microsoft\X3YY" поддиректорию директории, прописанной в реестре:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\AppData 
 имя файла <8 случайных символов>.exe. 

3. Прописывается в следующих ключах реестра:

 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"x3yy" = <path to Trojan>   

4. Пытается прочитать конфигурационную информацию из своего тела. Информация включает следующее:

Два URL, из которых троян пытается загрузить файлы

FTP сайт, на который троян пытается отослать украденную информацию

Имя пользователя и пароль, которые использует троян, чтобы войти на FTP сервер.

5. Пытается загрузить и выполнить файл из одного из URL из шага 4.

6. Заменяет загрузочную страницу Internet Explorer на "about:blank".

7. Пытается удалить следующие процессы:

 # ZONEALARM.EXE
 # WFINDV32.EXE
 # WEBSCANX.EXE
 # VSSTAT.EXE
 # VSHWIN32.EXE
 # VSECOMR.EXE
 # VSCAN40.EXE
 # VETTRAY.EXE
 # VET95.EXE
 # TDS2-NT.EXE
 # TDS2-98.EXE
 # TCA.EXE
 # TBSCAN.EXE
 # SWEEP95.EXE
 # SPHINX.EXE
 # SMC.EXE
 # SERV95.EXE
 # SCRSCAN.EXE
 # SCANPM.EXE
 # SCAN95.EXE
 # SCAN32.EXE
 # SAFEWEB.EXE
 # RESCUE.EXE
 # RAV7WIN.EXE
 # RAV7.EXE
 # PERSFW.EXE
 # PCFWALLICON.EXE
 # PCCWIN98.EXE
 # PAVW.EXE
 # PAVSCHED.EXE
 # PAVCL.EXE
 # PADMIN.EXE
 # OUTPOST.EXE
 # NVC95.EXE
 # NUPGRADE.EXE
 # NORMIST.EXE
 # NMAIN.EXE
 # NISUM.EXE
 # NAVWNT.EXE
 # NAVW32.EXE
 # NAVNT.EXE
 # NAVLU32.EXE
 # NAVAPW32.EXE
 # N32SCANW.EXE
 # MPFTRAY.EXE
 # MOOLIVE.EXE
 # LUALL.EXE
 # LOOKOUT.EXE
 # LOCKDOWN2000.EXE
 # JEDI.EXE
 # IOMON98.EXE
 # IFACE.EXE
 # ICSUPPNT.EXE
 # ICSUPP95.EXE
 # ICMON.EXE
 # ICLOADNT.EXE
 # ICLOAD95.EXE
 # IBMAVSP.EXE
 # IBMASN.EXE
 # IAMSERV.EXE
 # IAMAPP.EXE
 # F-STOPW.EXE
 # FRW.EXE
 # FP-WIN.EXE
 # F-PROT95.EXE
 # F-PROT.EXE
 # FPROT.EXE
 # FINDVIRU.EXE
 # F-AGNT95.EXE
 # ESPWATCH.EXE
 # ESAFE.EXE
 # ECENGINE.EXE
 # DVP95_0.EXE
 # DVP95.EXE
 # CLEANER3.EXE
 # CLEANER.EXE
 # CLAW95CF.EXE
 # CLAW95.EXE
 # CFINET32.EXE
 # CFINET.EXE
 # CFIAUDIT.EXE
 # CFIADMIN.EXE
 # BLACKICE.EXE
 # BLACKD.EXE
 # AVWUPD32.EXE
 # AVWIN95.EXE
 # AVSCHED32.EXE
 # AVPUPD.EXE
 # AVPTC32.EXE
 # AVPM.EXE
 # AVPDOS32.EXE
 # AVPCC.EXE
 # AVP32.EXE
 # AVP.EXE
 # AVNT.EXE
 # AVKSERV.EXE
 # AVGCTRL.EXE
 # AVE32.EXE
 # AVCONSOL.EXE
 # AUTODOWN.EXE
 # APVXDWIN.EXE
 # ANTI-TROJAN.EXE
 # ACKWIN32.EXE
 # _AVPM.EXE
 # _AVPCC.EXE
 # _AVP32.EXE
 # NVSVC32.EXE
 # NPROTECT.EXE
 # SAVSCAN.EXE
 # ARMOR2NET.EXE
 

8. Открывает и загружает файл %system%\unic_32.dll. Этот файл выполняет следующие действия:

Открывает пустой файл %system%\op32mp.log

Мониторит Web сайты, которые посещает пользователь и регистрирует информацию в файл named _post.log, который создается в той же директории в которую троян копируется в шаге 2.

9. Регистрирует себя как сервис.

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.