Trojan.Win32.SecondThought.aa

Троянская программа, написанная на Visual C++ 6.0. Размер файла — приблизительно 180КБ. Файл ничем не упакован.

Trojan.Win32.SecondThought.aa («Лаборатория Касперского») также известен как: BackDoor-BDI (McAfee), Backdoor.Trojan (Symantec), BackDoor.Agobot (Doctor Web), Troj/SecondT-AA (Sophos), Trojan:Win32/SecondThought.R (RAV), TROJ_SCNDTHOT.AA (Trend Micro), BackDoor.Small.6.A (Grisoft), Trojan.SecondThought.AA (SOFTWIN), Adware/PortalScan (Panda), Win32/SecondThought.AA (Eset)

Троянская программа, написанная на Visual C++ 6.0. Размер файла — приблизительно 180КБ. Файл ничем не упакован.

Инсталляция

При запуске копирует себя в директорию Windows под именем bokja.exe или goidr.exe и прописывается на автозагрузку в раздел реестра:

 
 [HKLM\Software\Microsoft\Windows\
  CurrentVersion\Run]
  "bokja"="%WINDIR%\bokja.exe"
  "goidr"="%WINDIR%\goidr.exe"
 

Настройки хранит в ключах реестра:

 
 [HKEY_LOCAL_MACHINE\SOFTWARE\Bokja]
 [HKEY_LOCAL_MACHINE\SOFTWARE\GoIDR]

Вредоносные действия

Работает в качестве фонового процесса. Обращается к сайтам:

 
     * www.danetport.com
     * www.infport.com
     * www.srfgate.com
     * www.webnetinfo.net 

Также может скачивать вредоносные программы.

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.