Trojan-Notifier. Win32. IllNotifier.d

Троянская программа, предназначенная для извещения злоумышленника об успешной инсталляции троянской компоненты в атакуемую систему.

Троянская программа, предназначенная для извещения злоумышленника об успешной инсталляции троянской компоненты в атакуемую систему.

Является приложением Windows (PE EXE-файл). Написана на Ассемблере. Имеет размер 4096 байт.

Деструктивная активность

После запуска троянская программа копирует себя в корневой каталог Windows с именем Service32.exe:

%Windir%\Service32.exe

После чего регистрирует себя в ключе автозапуска системного реестра:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
 "ICU-Sucker"="Service32.exe"

При каждой следующей загрузке Windows автоматически запустит файл троянца.

Троянец ожидает соединения с интернетом, проверяя его наличие каждые 5 секунд.

При наличии соединения троянец открывает URL специального вида:

http://web.icq.com/friendship/email_****k_you.....

Открытие данного URL приводит к тому, что злоумышленнику приходит сообщение с IP-адресом, именем пользователя и версией операционной системы с заражённого компьютера. При переподключении к интернету данное сообщение отправляется заново.

Другие названия
Trojan-Notifier.Win32.IllNotifier.d («Лаборатория Касперского») также известен как: TrojanNotifier.Win32.IllNotifier.d («Лаборатория Касперского»), Hacktool (Symantec),   Trojan.Illnot (Doctor Web),   Trojan:Win32/IllNotif.D (RAV),   TROJ_ILLNOTIF.D (Trend Micro),   TR/IllNotifier.D.2 (H+BEDV),   Win32:Trojan-gen. (ALWIL),   Trojan.Notifier.Illnotifier.D (SOFTWIN),   Trojan Horse (Panda),   Win32/TrojanNotifier.IllNotif.D (Eset)