TrojanSpy.Win32.Montp.l

Троянская программа-шпион. Является приложением Windows (PE EXE-файл), упакована UPX. Размер упакованного файла - около 20KB

Троянская программа-шпион. Является приложением Windows (PE EXE-файл), упакована UPX. Размер упакованного файла - около 20KB.

При инсталляции "троянец" создает в системной папке Windows директорию "mset". В этой директории "троянец" создает свою копию с именем "svchost.exe".

Также создаются файлы "_mails.txt" и "_pass.log", в которых собирается вся информация о зараженном компьютере. Полученную информацию троянец выкладывает на FTP-сервер злоумышленника.

Троянская программа регистрирует себя в ключе автозагрузки системного реестра:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
  "mset"="%Windir%\%System%\mset\svchost.exe"

Также в системной папке Windows "троянец" создает следующие файлы:

C:\WINDOWS\SYSTEM32\kwuie_x.dll
 C:\WINDOWS\SYSTEM32\xtempx.xxx

После запуска троянец выдает следующее окно:

TrojanSpy.Win32.Montp.l пытается остановить работу следующих процессов:

_AVP32.EXE
 _AVPCC.EXE
 _AVPM.EXE
 ACKWIN32.EXE
 ANTI-TROJAN.EXE
 APVXDWIN.EXE
 ARMOR2NET.EXE
 AUTODOWN.EXE
 AVCONSOL.EXE
 AVE32.EXE
 AVGCTRL.EXE
 AVKSERV.EXE
 AVNT.EXE
 AVP.EXE
 AVP32.EXE
 AVPCC.EXE
 AVPDOS32.EXE
 AVPM.EXE
 AVPTC32.EXE
 AVPUPD.EXE
 AVSCHED32.EXE
 AVWIN95.EXE
 AVWUPD32.EXE
 BLACKD.EXE
 BLACKICE.EXE
 CFIADMIN.EXE
 CFIAUDIT.EXE
 CFINET.EXE
 CFINET32.EXE
 CLAW95.EXE
 CLAW95CF.EXE
 CLEANER.EXE
 CLEANER3.EXE
 DVP95.EXE
 DVP95_0.EXE
 ECENGINE.EXE
 ESAFE.EXE
ESPWATCH.EXE
 F-AGNT95.EXE
 FINDVIRU.EXE
 FPROT.EXE
 F-PROT.EXE
 F-PROT95.EXE
 FP-WIN.EXE
 FRW.EXE
 F-STOPW.EXE
 IAMAPP.EXE
 IAMSERV.EXE
 IBMASN.EXE
 IBMAVSP.EXE
 ICLOAD95.EXE
 ICLOADNT.EXE
 ICMON.EXE
 ICSUPP95.EXE
 ICSUPPNT.EXE
 IFACE.EXE
 IOMON98.EXE
 JEDI.EXE
 LOCKDOWN2000.EXE
 LOOKOUT.EXE
 LUALL.EXE
 MOOLIVE.EXE
 MPFTRAY.EXE
 N32SCANW.EXE
 NAVAPW32.EXE
 NAVLU32.EXE
 NAVNT.EXE
 NAVW32.EXE
 NAVWNT.EXE
 NISUM.EXE
 NMAIN.EXE
 NORMIST.EXE
 NPROTECT.EXE
 NUPGRADE.EXE
NVC95.EXE
 NVSVC32.EXE
 OUTPOST.EXE
 PADMIN.EXE
 PAVCL.EXE
 PAVSCHED.EXE
 PAVW.EXE
 PCFWALLICON.EXE
 PCWIN98.EXE
 PERSFW.EXE
 RAV7.EXE
 RAV7WIN.EXE
 RESCUE.EXE
 SAFEWEB.EXE
 SAVSCAN.EXE
 SCAN32.EXE
 SCAN95.EXE
 SCANPM.EXE
 SCRSCAN.EXE
 SERV95.EXE
 SMC.EXE
 SPHINX.EXE
 SWEEP95.EXE
 TBSCAN.EXE
 TCA.EXE
 TDS2-98.EXE
 TDS2-NT.EXE
 VET95.EXE
 VETTRAY.EXE
 VSCAN40.EXE
 VSECOMR.EXE
 VSHWIN32.EXE
 VSSTAT.EXE
 WEBSCANX.EXE
 WFINDV32.EXE
 ZONEALARM.EXE
Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

^ Наверх