Trojan-Notifier. Win32.Sysbopt

Троянская программа, предназначенная для извещения злоумышленника об успешной инсталляции троянской компоненты в атакуемую систему.

Троянская программа, предназначенная для извещения злоумышленника об успешной инсталляции троянской компоненты в атакуемую систему.

Является приложением Windows (PE EXE-файл). Написана на ассемблере. Размер зараженных файлов незначительно варьируется в пределах от 1600 байт до 4096 байт.

name="doc3">Деструктивная активность

После запуска троянская программа копирует себя в корневой каталог Windows со своим оригинальным именем:

%Windir%\<оригинальное имя троянца>

После чего регистрирует себя в следующем ключе системного реестра:

[HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows]
 "load"="%Windir%\оригинальное имя троянца>"

При каждой следующей загрузке Windows автоматически запустит файл троянца.

Троянец ожидает соединения с интернетом, проверяя его наличие каждые 5 секунд.

При наличии соединения троянец открывает URL специального вида:

http://web.icq.com/whitepages/p***_me/.....

Открытие данного URL приводит к тому, что конкретному пользователю ICQ приходит сообщение с IP-адресом, именем компьютера и именем пользователя с заражённого компьютера. При переподключении к интернету данное сообщение отправляется заново.

Другие названия
Trojan-Notifier.Win32.Sysbopt ( «Лаборатория Касперского» ) также известен как: TrojanNotifier.Win32.Sysbopt ( «Лаборатория Касперского» ), ICQPager-O ( McAfee ),   ICQpager.Trojan ( Symantec ),   Trojan.Skullhack ( Doctor Web ),   Troj/Sysbopt-A ( Sophos ),   TROJ_ICQPAGER.A ( Trend Micro ),   Win32:Trojan-gen. ( ALWIL ),   Trojan Horse ( Panda ),   NewHeur_PE ( Eset )
Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.