Trojan-Proxy.Win32. Small.fk

Троянская программа, позволяющая злоумышленнику использовать зараженную машину в качестве прокси-сервера.

Троянская программа, позволяющая злоумышленнику использовать зараженную машину в качестве прокси-сервера. Является приложением Windows (PE EXE-файл). Имеет размер 8682 байта. Упакована FSG. Размер распакованного файла — около 49 КБ. Написана на Visual C++.

Инсталляция

При запуске вирус создает в системном каталоге Windows библиотеку с произвольным именем:

%System%\<произвольный набор символов>.dll — имеет размер 7168 байт, детектируется Антивирусом Касперского как Trojan.Win32.Obfuscated.fw

Затем создает в системном реестре следующий ключ:

 [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\fade]
 "DllName" = "<произвольный набор символов>.dll"
 "MaxWait" = " dword: 0x00000001"
 "Logon" = "Event"
 "Asynchronous" = "dword: 0x00000001"
 "Impersonate" = "dword: 0x00000001"

Деструктивная активность

Чтобы обойти сетевые экраны и антивирусную защиту, троянец ищет окна сообщений с заголовком:

 Create rule for <имя троянской программы>

Также ищет в системе окна с именами классов:

 AVP.AlertDialog
 AVP.AhAppChangedDialog
 AVP.AhLearnDialog
 

И имитирует в них нажатия на кнопки:

 Allow
 Skip
 Apply to all
 Remember this action

Таким образом вирус разрешает запрашиваемые действия.

Окна с именем класса «AVP.Product_Notification» закрываются.

Далее троянская программа производит запись в память системного процесса «explorer.exe» — для сокрытия своего присутствия в системе и получения беспрепятственного доступа в Интернет. С целью получения параметров интернет-подключения пользователя вирус загружает ссылку:

 http://httpdoc.info/cgi-bin/****.cgi
 

В ходе своей работы троянец открывает произвольный UDP-порт. После этого компьютер пользователя может использоваться злоумышленником в качестве прокси-сервера.