Trojan-Proxy.Win32. Agent.q

Троянская программа, которая без ведома пользователя запускает прокси-сервер на зараженном компьютере.

Троянская программа, которая без ведома пользователя запускает прокси-сервер на зараженном компьютере. Является приложением Windows (PE-EXE файл). Имеет размер 28796 байт. Ничем не упакована.

Инсталляция

При запуске троянец копирует свой исполняемый файл под именем:

 
 %Program Files%\q~1\svchst32.exe
 

После этого оригинальный файл удаляется.

Вирус добавляет ссылку на собственный exe-файл в ключ автозапуска системного реестра:

 [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
 "bab" = "c:\progra~1\q~1\svchst32.exe"

Также генерируется следующий файл:

 
 c:\!stealth.txt

Деструктивная активность

Троянец создает на компьютере пользователя SOCKS прокси-сервер на случайно выбранном TCP-порту, затем сообщает номер этого порта на сайт злоумышленника посредством URL-запроса.

Вредоносная программа пытается завершить следующие процессы:

 
     * ZONEALARM.EXE
     * WFINDV32.EXE
     * WEBSCANX.EXE
     * VSSTAT.EXE
     * VSHWIN32.EXE
     * VSECOMR.EXE
     * VSCAN40.EXE
     * VETTRAY.EXE
     * VET95.EXE
     * TDS2-NT.EXE
     * TDS2-98.EXE
     * TCA.EXE
     * TBSCAN.EXE
     * SWEEP95.EXE
     * SPHINX.EXE
     * SMC.EXE
     * SERV95.EXE
     * SCRSCAN.EXE
     * SCANPM.EXE
     * SCAN95.EXE
     * SCAN32.EXE
     * SAFEWEB.EXE
     * RESCUE.EXE
     * RAV7WIN.EXE
     * RAV7.EXE
     * PERSFW.EXE
     * PCFWALLICON.EXE
     * PCCWIN98.EXE
     * PAVW.EXE
     * PAVSCHED.EXE
     * PAVCL.EXE
     * PADMIN.EXE
     * OUTPOST.EXE
     * NVC95.EXE
     * NUPGRADE.EXE
     * NORMIST.EXE
     * NMAIN.EXE
     * NISUM.EXE
     * NAVWNT.EXE
     * NAVW32.EXE
     * NAVNT.EXE
     * NAVLU32.EXE
     * NAVAPW32.EXE
     * N32SCANW.EXE
     * MPFTRAY.EXE
     * MOOLIVE.EXE
     * LUALL.EXE
     * LOOKOUT.EXE
     * LOCKDOWN2000.EXE
     * JEDI.EXE
     * IOMON98.EXE
     * IFACE.EXE
     * ICSUPPNT.EXE
     * ICSUPP95.EXE
     * ICMON.EXE
     * ICLOADNT.EXE
     * ICLOAD95.EXE
     * IBMAVSP.EXE
     * IBMASN.EXE
     * IAMSERV.EXE
     * IAMAPP.EXE
     * F-STOPW.EXE
     * FRW.EXE
     * FP-WIN.EXE
     * F-PROT95.EXE
     * F-PROT.EXE
     * FPROT.EXE
     * FINDVIRU.EXE
     * F-AGNT95.EXE
     * ESPWATCH.EXE
     * ESAFE.EXE
     * ECENGINE.EXE
     * DVP95_0.EXE
     * DVP95.EXE
     * CLEANER3.EXE
     * CLEANER.EXE
     * CLAW95CF.EXE
     * CLAW95.EXE
     * CFINET32.EXE
     * CFINET.EXE
     * CFIAUDIT.EXE
     * CFIADMIN.EXE
     * BLACKICE.EXE
     * BLACKD.EXE
     * AVWUPD32.EXE
     * AVWIN95.EXE
     * AVSCHED32.EXE
     * AVPUPD.EXE
     * AVPTC32.EXE
     * AVPM.EXE
     * AVPDOS32.EXE
     * AVPCC.EXE
     * AVP32.EXE
     * AVP.EXE
     * AVNT.EXE
     * AVKSERV.EXE
     * AVGCTRL.EXE
     * AVE32.EXE
     * AVCONSOL.EXE
     * AUTODOWN.EXE
     * APVXDWIN.EXE
     * ANTI-TROJAN.EXE
     * ACKWIN32.EXE
     * _AVPM.EXE
     * _AVPCC.EXE
     * _AVP32.EXE
 

Обновления для себя троянец загружает с сайта злоумышленника, сохраняя их с именами вида:

 c:\progra~1\q~1\upd<номер скачанного файла>.exe
 

Скачанные файлы прописываются в ключ автозапуска системного реестра и запускаются на исполнение.

Другие названия

Trojan-Proxy.Win32.Agent.q («Лаборатория Касперского») также известен как: TrojanProxy.Win32.Agent.q («Лаборатория Касперского»), Proxy-Mitglieder.gen.c (McAfee), Backdoor.Trojan (Symantec), Trojan.Proxy.28798 (Doctor Web), TrojanProxy:Win32/Agent.Q (RAV), TROJ_AGENT.Q (Trend Micro), TR/Agent.Q (H+BEDV), Win32:Trojan-gen. (ALWIL), Proxy.2.BC (Grisoft), Trojan.Proxy.Agent.Q (SOFTWIN), Trj/Agent.E (Panda), Win32/TrojanProxy.Agent.Q (Eset)

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.