Trojan-Notifier. Win32. IllNotifier.d

Троянская программа, предназначенная для извещения злоумышленника об успешной инсталляции троянской компоненты в атакуемую систему.

Троянская программа, предназначенная для извещения злоумышленника об успешной инсталляции троянской компоненты в атакуемую систему.

Является приложением Windows (PE EXE-файл). Написана на Ассемблере. Имеет размер 4096 байт.

name="doc3">Деструктивная активность

После запуска троянская программа копирует себя в корневой каталог Windows с именем Service32.exe:

%Windir%\Service32.exe

После чего регистрирует себя в ключе автозапуска системного реестра:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
 "ICU-Sucker"="Service32.exe"

При каждой следующей загрузке Windows автоматически запустит файл троянца.

Троянец ожидает соединения с интернетом, проверяя его наличие каждые 5 секунд.

При наличии соединения троянец открывает URL специального вида:

http://web.icq.com/friendship/email_****k_you.....

Открытие данного URL приводит к тому, что злоумышленнику приходит сообщение с IP-адресом, именем пользователя и версией операционной системы с заражённого компьютера. При переподключении к интернету данное сообщение отправляется заново.

Другие названия
Trojan-Notifier.Win32.IllNotifier.d ( «Лаборатория Касперского» ) также известен как: TrojanNotifier.Win32.IllNotifier.d ( «Лаборатория Касперского» ), Hacktool ( Symantec ),   Trojan.Illnot ( Doctor Web ),   Trojan:Win32/IllNotif.D ( RAV ),   TROJ_ILLNOTIF.D ( Trend Micro ),   TR/IllNotifier.D.2 ( H+BEDV ),   Win32:Trojan-gen. ( ALWIL ),   Trojan.Notifier.Illnotifier.D ( SOFTWIN ),   Trojan Horse ( Panda ),   Win32/TrojanNotifier.IllNotif.D ( Eset )
Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.