Troj/Viran-B

Troj/Viran-B – бекдор троян позволяющий удаленному злоумышленнику контролировать удаленный компьютер.

Troj/Viran-B – бекдор троян позволяющий удаленному злоумышленнику контролировать удаленный компьютер.

Troj/Viran-B может взаимодействовать с удаленным сервером через HTTP протокол.

При первом запуске Troj/Viran-B копирует себя в следущие файлы:

<Common Files>\System\lsass.exe
<System>\ctfmon.exe
<System>\userinit.exe

И создает следующие файлы:

<System>\divx5.dll
<System>\h323.txt

Файл divx5.dll определяется как Troj/HideProc-K.

Троян изменяет системные файлы sfc.dll или sfc_os.dll, в зависимости от операционной системы, чтобы отключить System File Checker. В результате троян в дальнейшем может изменять другие системные файлы.
Также создаются следующие ключи реестра:


HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Userinit
<Common Files>\system\lsass.exe
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
CTFMON.EXE
<System>\ctfmon.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Userinit
<System>\userinit.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
SFCDisable
ffffff9d