Trojan-Proxy.Win32. Agent.q
Троянская программа, которая без ведома пользователя запускает прокси-сервер на зараженном компьютере.
Инсталляция
При запуске троянец копирует свой исполняемый файл под именем:
%Program Files%\q~1\svchst32.exe
После этого оригинальный файл удаляется.
Вирус добавляет ссылку на собственный exe-файл в ключ автозапуска системного реестра:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run] "bab" = "c:\progra~1\q~1\svchst32.exe"
Также генерируется следующий файл:
c:\!stealth.txt
Деструктивная активность
Троянец создает на компьютере пользователя SOCKS прокси-сервер на случайно выбранном TCP-порту, затем сообщает номер этого порта на сайт злоумышленника посредством URL-запроса.
Вредоносная программа пытается завершить следующие процессы:
* ZONEALARM.EXE
* WFINDV32.EXE
* WEBSCANX.EXE
* VSSTAT.EXE
* VSHWIN32.EXE
* VSECOMR.EXE
* VSCAN40.EXE
* VETTRAY.EXE
* VET95.EXE
* TDS2-NT.EXE
* TDS2-98.EXE
* TCA.EXE
* TBSCAN.EXE
* SWEEP95.EXE
* SPHINX.EXE
* SMC.EXE
* SERV95.EXE
* SCRSCAN.EXE
* SCANPM.EXE
* SCAN95.EXE
* SCAN32.EXE
* SAFEWEB.EXE
* RESCUE.EXE
* RAV7WIN.EXE
* RAV7.EXE
* PERSFW.EXE
* PCFWALLICON.EXE
* PCCWIN98.EXE
* PAVW.EXE
* PAVSCHED.EXE
* PAVCL.EXE
* PADMIN.EXE
* OUTPOST.EXE
* NVC95.EXE
* NUPGRADE.EXE
* NORMIST.EXE
* NMAIN.EXE
* NISUM.EXE
* NAVWNT.EXE
* NAVW32.EXE
* NAVNT.EXE
* NAVLU32.EXE
* NAVAPW32.EXE
* N32SCANW.EXE
* MPFTRAY.EXE
* MOOLIVE.EXE
* LUALL.EXE
* LOOKOUT.EXE
* LOCKDOWN2000.EXE
* JEDI.EXE
* IOMON98.EXE
* IFACE.EXE
* ICSUPPNT.EXE
* ICSUPP95.EXE
* ICMON.EXE
* ICLOADNT.EXE
* ICLOAD95.EXE
* IBMAVSP.EXE
* IBMASN.EXE
* IAMSERV.EXE
* IAMAPP.EXE
* F-STOPW.EXE
* FRW.EXE
* FP-WIN.EXE
* F-PROT95.EXE
* F-PROT.EXE
* FPROT.EXE
* FINDVIRU.EXE
* F-AGNT95.EXE
* ESPWATCH.EXE
* ESAFE.EXE
* ECENGINE.EXE
* DVP95_0.EXE
* DVP95.EXE
* CLEANER3.EXE
* CLEANER.EXE
* CLAW95CF.EXE
* CLAW95.EXE
* CFINET32.EXE
* CFINET.EXE
* CFIAUDIT.EXE
* CFIADMIN.EXE
* BLACKICE.EXE
* BLACKD.EXE
* AVWUPD32.EXE
* AVWIN95.EXE
* AVSCHED32.EXE
* AVPUPD.EXE
* AVPTC32.EXE
* AVPM.EXE
* AVPDOS32.EXE
* AVPCC.EXE
* AVP32.EXE
* AVP.EXE
* AVNT.EXE
* AVKSERV.EXE
* AVGCTRL.EXE
* AVE32.EXE
* AVCONSOL.EXE
* AUTODOWN.EXE
* APVXDWIN.EXE
* ANTI-TROJAN.EXE
* ACKWIN32.EXE
* _AVPM.EXE
* _AVPCC.EXE
* _AVP32.EXE
Обновления для себя троянец загружает с сайта злоумышленника, сохраняя их с именами вида:
c:\progra~1\q~1\upd<номер скачанного файла>.exe
Скачанные файлы прописываются в ключ автозапуска системного реестра и запускаются на исполнение.
Другие названия
Trojan-Proxy.Win32.Agent.q («Лаборатория Касперского») также известен как: TrojanProxy.Win32.Agent.q («Лаборатория Касперского»), Proxy-Mitglieder.gen.c (McAfee), Backdoor.Trojan (Symantec), Trojan.Proxy.28798 (Doctor Web), TrojanProxy:Win32/Agent.Q (RAV), TROJ_AGENT.Q (Trend Micro), TR/Agent.Q (H+BEDV), Win32:Trojan-gen. (ALWIL), Proxy.2.BC (Grisoft), Trojan.Proxy.Agent.Q (SOFTWIN), Trj/Agent.E (Panda), Win32/TrojanProxy.Agent.Q (Eset)