Trojan-Proxy.Win32. Agent.q

Троянская программа, которая без ведома пользователя запускает прокси-сервер на зараженном компьютере.

Троянская программа, которая без ведома пользователя запускает прокси-сервер на зараженном компьютере. Является приложением Windows (PE-EXE файл). Имеет размер 28796 байт. Ничем не упакована.

Инсталляция

При запуске троянец копирует свой исполняемый файл под именем:


%Program Files%\q~1\svchst32.exe

После этого оригинальный файл удаляется.

Вирус добавляет ссылку на собственный exe-файл в ключ автозапуска системного реестра:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"bab" = "c:\progra~1\q~1\svchst32.exe"

Также генерируется следующий файл:


c:\!stealth.txt

Деструктивная активность

Троянец создает на компьютере пользователя SOCKS прокси-сервер на случайно выбранном TCP-порту, затем сообщает номер этого порта на сайт злоумышленника посредством URL-запроса.

Вредоносная программа пытается завершить следующие процессы:


    * ZONEALARM.EXE
    * WFINDV32.EXE
    * WEBSCANX.EXE
    * VSSTAT.EXE
    * VSHWIN32.EXE
    * VSECOMR.EXE
    * VSCAN40.EXE
    * VETTRAY.EXE
    * VET95.EXE
    * TDS2-NT.EXE
    * TDS2-98.EXE
    * TCA.EXE
    * TBSCAN.EXE
    * SWEEP95.EXE
    * SPHINX.EXE
    * SMC.EXE
    * SERV95.EXE
    * SCRSCAN.EXE
    * SCANPM.EXE
    * SCAN95.EXE
    * SCAN32.EXE
    * SAFEWEB.EXE
    * RESCUE.EXE
    * RAV7WIN.EXE
    * RAV7.EXE
    * PERSFW.EXE
    * PCFWALLICON.EXE
    * PCCWIN98.EXE
    * PAVW.EXE
    * PAVSCHED.EXE
    * PAVCL.EXE
    * PADMIN.EXE
    * OUTPOST.EXE
    * NVC95.EXE
    * NUPGRADE.EXE
    * NORMIST.EXE
    * NMAIN.EXE
    * NISUM.EXE
    * NAVWNT.EXE
    * NAVW32.EXE
    * NAVNT.EXE
    * NAVLU32.EXE
    * NAVAPW32.EXE
    * N32SCANW.EXE
    * MPFTRAY.EXE
    * MOOLIVE.EXE
    * LUALL.EXE
    * LOOKOUT.EXE
    * LOCKDOWN2000.EXE
    * JEDI.EXE
    * IOMON98.EXE
    * IFACE.EXE
    * ICSUPPNT.EXE
    * ICSUPP95.EXE
    * ICMON.EXE
    * ICLOADNT.EXE
    * ICLOAD95.EXE
    * IBMAVSP.EXE
    * IBMASN.EXE
    * IAMSERV.EXE
    * IAMAPP.EXE
    * F-STOPW.EXE
    * FRW.EXE
    * FP-WIN.EXE
    * F-PROT95.EXE
    * F-PROT.EXE
    * FPROT.EXE
    * FINDVIRU.EXE
    * F-AGNT95.EXE
    * ESPWATCH.EXE
    * ESAFE.EXE
    * ECENGINE.EXE
    * DVP95_0.EXE
    * DVP95.EXE
    * CLEANER3.EXE
    * CLEANER.EXE
    * CLAW95CF.EXE
    * CLAW95.EXE
    * CFINET32.EXE
    * CFINET.EXE
    * CFIAUDIT.EXE
    * CFIADMIN.EXE
    * BLACKICE.EXE
    * BLACKD.EXE
    * AVWUPD32.EXE
    * AVWIN95.EXE
    * AVSCHED32.EXE
    * AVPUPD.EXE
    * AVPTC32.EXE
    * AVPM.EXE
    * AVPDOS32.EXE
    * AVPCC.EXE
    * AVP32.EXE
    * AVP.EXE
    * AVNT.EXE
    * AVKSERV.EXE
    * AVGCTRL.EXE
    * AVE32.EXE
    * AVCONSOL.EXE
    * AUTODOWN.EXE
    * APVXDWIN.EXE
    * ANTI-TROJAN.EXE
    * ACKWIN32.EXE
    * _AVPM.EXE
    * _AVPCC.EXE
    * _AVP32.EXE

Обновления для себя троянец загружает с сайта злоумышленника, сохраняя их с именами вида:

c:\progra~1\q~1\upd<номер скачанного файла>.exe

Скачанные файлы прописываются в ключ автозапуска системного реестра и запускаются на исполнение.

Другие названия

Trojan-Proxy.Win32.Agent.q («Лаборатория Касперского») также известен как: TrojanProxy.Win32.Agent.q («Лаборатория Касперского»), Proxy-Mitglieder.gen.c (McAfee), Backdoor.Trojan (Symantec), Trojan.Proxy.28798 (Doctor Web), TrojanProxy:Win32/Agent.Q (RAV), TROJ_AGENT.Q (Trend Micro), TR/Agent.Q (H+BEDV), Win32:Trojan-gen. (ALWIL), Proxy.2.BC (Grisoft), Trojan.Proxy.Agent.Q (SOFTWIN), Trj/Agent.E (Panda), Win32/TrojanProxy.Agent.Q (Eset)