Trojan-Proxy.Win32. Daemonize.cd

Троянская программа, позволяющая злоумышленнику использовать зараженную машину в качестве прокси-сервера, то есть работать в сети от имени «зараженного» хоста.

Троянская программа, позволяющая злоумышленнику использовать зараженную машину в качестве прокси-сервера, то есть работать в сети от имени «зараженного» хоста. Является приложением Windows (PE EXE-файл). Имеет размер 43008 байт. Написана на Visual C++.

Инсталляция

При запуске троянец копирует себя в корневой каталог Windows («%WinDir%») под именем «svchost.exe»:

%WinDir%\svchost.exe

Затем регистрирует себя в ключе автозапуска системного реестра:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"SVCHOST Generic application" = "%WinDir%\svchost.exe"

Таким образом, при каждой последующей загрузке Windows автоматически запускает файл троянца.

Деструктивная активность

Вирус запускает proxy-сервер на машине жертвы. При этом злоумышленник имеет возможности конфигурирования следующих параметров:

    * запуск в резидентном режиме;
    * установка способа для сбора записи информации в лог;
    * установка IP-адреса для входящих и исходящих соединений.

Также троянец открывает следующие ссылки, пытаясь обмануть пользователя и выдать себя за системный сервис, проверяющий доступ к Интернету:

http://vistachecker.com/show.php?v=132&rnd= 
http://windowsupdate.microsoft.com/
http://www.microsoft.com/