Trojan-Proxy.Win32. Small.fk

Троянская программа, позволяющая злоумышленнику использовать зараженную машину в качестве прокси-сервера.

Троянская программа, позволяющая злоумышленнику использовать зараженную машину в качестве прокси-сервера. Является приложением Windows (PE EXE-файл). Имеет размер 8682 байта. Упакована FSG. Размер распакованного файла — около 49 КБ. Написана на Visual C++.

Инсталляция

При запуске вирус создает в системном каталоге Windows библиотеку с произвольным именем:

%System%\<произвольный набор символов>.dll — имеет размер 7168 байт, детектируется Антивирусом Касперского как Trojan.Win32.Obfuscated.fw

Затем создает в системном реестре следующий ключ:

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\fade]
"DllName" = "<произвольный набор символов>.dll"
"MaxWait" = " dword: 0x00000001"
"Logon" = "Event"
"Asynchronous" = "dword: 0x00000001"
"Impersonate" = "dword: 0x00000001"

Деструктивная активность

Чтобы обойти сетевые экраны и антивирусную защиту, троянец ищет окна сообщений с заголовком:

Create rule for <имя троянской программы>

Также ищет в системе окна с именами классов:

AVP.AlertDialog
AVP.AhAppChangedDialog
AVP.AhLearnDialog

И имитирует в них нажатия на кнопки:

Allow
Skip
Apply to all
Remember this action

Таким образом вирус разрешает запрашиваемые действия.

Окна с именем класса «AVP.Product_Notification» закрываются.

Далее троянская программа производит запись в память системного процесса «explorer.exe» — для сокрытия своего присутствия в системе и получения беспрепятственного доступа в Интернет. С целью получения параметров интернет-подключения пользователя вирус загружает ссылку:

http://httpdoc.info/cgi-bin/****.cgi

В ходе своей работы троянец открывает произвольный UDP-порт. После этого компьютер пользователя может использоваться злоумышленником в качестве прокси-сервера.