Trojan-Notifier. Win32.Sysbopt

Троянская программа, предназначенная для извещения злоумышленника об успешной инсталляции троянской компоненты в атакуемую систему.

Троянская программа, предназначенная для извещения злоумышленника об успешной инсталляции троянской компоненты в атакуемую систему.

Является приложением Windows (PE EXE-файл). Написана на ассемблере. Размер зараженных файлов незначительно варьируется в пределах от 1600 байт до 4096 байт.

Деструктивная активность

После запуска троянская программа копирует себя в корневой каталог Windows со своим оригинальным именем:

%Windir%\<оригинальное имя троянца>

После чего регистрирует себя в следующем ключе системного реестра:

[HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows]
 "load"="%Windir%\оригинальное имя троянца>"

При каждой следующей загрузке Windows автоматически запустит файл троянца.

Троянец ожидает соединения с интернетом, проверяя его наличие каждые 5 секунд.

При наличии соединения троянец открывает URL специального вида:

http://web.icq.com/whitepages/p***_me/.....

Открытие данного URL приводит к тому, что конкретному пользователю ICQ приходит сообщение с IP-адресом, именем компьютера и именем пользователя с заражённого компьютера. При переподключении к интернету данное сообщение отправляется заново.

Другие названия
Trojan-Notifier.Win32.Sysbopt («Лаборатория Касперского») также известен как: TrojanNotifier.Win32.Sysbopt («Лаборатория Касперского»), ICQPager-O (McAfee),   ICQpager.Trojan (Symantec),   Trojan.Skullhack (Doctor Web),   Troj/Sysbopt-A (Sophos),   TROJ_ICQPAGER.A (Trend Micro),   Win32:Trojan-gen. (ALWIL),   Trojan Horse (Panda),   NewHeur_PE (Eset)