Trojan-Proxy.Win32. Agent.lu

Троянская программа. Является приложением Windows (PE-EXE файл).

Троянская программа. Является приложением Windows (PE-EXE файл). Имеет размер 20527 байт.

Инсталляция

При запуске троянец извлекает из своего тела следующий файл:

     * %System%\winwil32.dll — имеет размер 17920 байт.
 

Также создается ключ реестра:

 [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\winwil32]
 "Asynchronous" = dword:00000001
 "DllName" = "winwil32.dll"
 "Impersonate" = dword:00000000
 "Startup" = "EvtStartup"
 "Shutdown" = "EvtShutdown"
 

Таким образом, при каждом последующем старте Windows троянская библиотека будет загружаться системным процессом «Winlogon.exe».

Троянец создает ключ реестра, в котором хранит свои настройки:

 [HKLM\SOFTWARE\Microsoft\MSSMGR]
 

После завершения процесса инсталляции вредоносная программа удаляет свой исполняемый файл.

Деструктивная активность

Вирус запускает процесс «iexplore.exe» и внедряет в него свой код, открывающий на компьютере пользователя UDP-порт 1032. По данному порту троянцем принимаются команды от злоумышленника, который получает возможность выполнять следующие действия:

* получать список процессов;

* запускать/останавливать различные процессы;

* получать список Dialup-соединений;

* просматривать последовательнось нажимаемых пользователем клавиш.

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.