Trojan-Proxy.Win32. Agent.lu

Троянская программа. Является приложением Windows (PE-EXE файл).

Троянская программа. Является приложением Windows (PE-EXE файл). Имеет размер 20527 байт.

Инсталляция

При запуске троянец извлекает из своего тела следующий файл:

    * %System%\winwil32.dll — имеет размер 17920 байт.

Также создается ключ реестра:

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\winwil32]
"Asynchronous" = dword:00000001
"DllName" = "winwil32.dll"
"Impersonate" = dword:00000000
"Startup" = "EvtStartup"
"Shutdown" = "EvtShutdown"

Таким образом, при каждом последующем старте Windows троянская библиотека будет загружаться системным процессом «Winlogon.exe».

Троянец создает ключ реестра, в котором хранит свои настройки:

[HKLM\SOFTWARE\Microsoft\MSSMGR]

После завершения процесса инсталляции вредоносная программа удаляет свой исполняемый файл.

Деструктивная активность

Вирус запускает процесс «iexplore.exe» и внедряет в него свой код, открывающий на компьютере пользователя UDP-порт 1032. По данному порту троянцем принимаются команды от злоумышленника, который получает возможность выполнять следующие действия:

* получать список процессов;

* запускать/останавливать различные процессы;

* получать список Dialup-соединений;

* просматривать последовательнось нажимаемых пользователем клавиш.