Trojan-Proxy.Win32. Daemonize.cd

Троянская программа, позволяющая злоумышленнику использовать зараженную машину в качестве прокси-сервера, то есть работать в сети от имени «зараженного» хоста. Является приложением Windows (PE EXE-файл). Имеет размер 43008 байт. Написана на Visual C++.

Инсталляция

При запуске троянец копирует себя в корневой каталог Windows («%WinDir%») под именем «svchost.exe»:

  %WinDir%\svchost.exe

Затем регистрирует себя в ключе автозапуска системного реестра:

  [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
  "SVCHOST Generic application" = "%WinDir%\svchost.exe"

Таким образом, при каждой последующей загрузке Windows автоматически запускает файл троянца.

Деструктивная активность

Вирус запускает proxy-сервер на машине жертвы. При этом злоумышленник имеет возможности конфигурирования следующих параметров:

      * запуск в резидентном режиме;
      * установка способа для сбора записи информации в лог;
      * установка IP-адреса для входящих и исходящих соединений.
  

Также троянец открывает следующие ссылки, пытаясь обмануть пользователя и выдать себя за системный сервис, проверяющий доступ к Интернету:

  http://vistachecker.com/show.php?v=132&rnd= 
  http://windowsupdate.microsoft.com/
  http://www.microsoft.com/