Trojan.Wlogo

Trojan.Wlogo - троян, эксплуатирующий удаленное переполнение буфера в тэге IFRAME в Microsoft Internet Explorer. Троян загружает и выполняет удаленные файлы.

Trojan.Wlogo - троян, эксплуатирующий удаленное переполнение буфера в тэге IFRAME в Microsoft Internet Explorer. Троян загружает и выполняет удаленные файлы.

Когда пользователь просматривает злонамеренный html файл, Trojan.Wlogo выполняет следующие действия:

1. Cоздает следующий файл:

 %System%\winlogo.dll 
2.Добавляет множественные вариации в ключ реестра:
 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPRIP 
3. Загружает Winlogo.dll с RUNDLL32.EXE

4.После того, как троян стал выполняться, он ждет 2 минуты, а затем пытается соединиться со следующими удаленными серверами по 80 TCP порту:

 63.203.4.21
 62.141.93.43 

Если соединение было удачным, он пытается открыть бэкдор и ждет MS-DOS команд. Это позволяет атакующему выполнять произвольные MS-DOS команды на скомпрометированной системе.В случае неудачного соединения троян ждет 15 минут и пытается соединиться снова.

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.