Troj/Viran-B – бекдор троян позволяющий удаленному злоумышленнику контролировать удаленный компьютер.
Troj/Viran-B – бекдор троян позволяющий удаленному злоумышленнику контролировать удаленный компьютер.
Troj/Viran-B может взаимодействовать с удаленным сервером через HTTP протокол.
При первом запуске Troj/Viran-B копирует себя в следущие файлы:
<Common Files>\System\lsass.exe
<System>\ctfmon.exe
<System>\userinit.exe
И создает следующие файлы:
<System>\divx5.dll
<System>\h323.txt
Файл divx5.dll определяется как Troj/HideProc-K.
Троян изменяет системные файлы sfc.dll или sfc_os.dll, в зависимости от операционной системы, чтобы отключить System File Checker. В результате троян в дальнейшем может изменять другие системные файлы.
Также создаются следующие ключи реестра:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Userinit
<Common Files>\system\lsass.exe
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
CTFMON.EXE
<System>\ctfmon.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Userinit
<System>\userinit.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
SFCDisable
ffffff9d