Trojan.Win32. Agent.bve

Троянская программа, выполняющая деструктивные действия на компьютере пользователя. Программа является динамической библиотекой Windows (PE DLL-файл). Имеет размер около 100 КБ.

Инсталляция

Троянец копирует свой исполняемый файл в системный каталог Windows:

%System%\mstmdm.dll

Для автоматического запуска при каждом следующем старте системы троян добавляет ссылку на свой исполняемый файл в ключи автозапуска системного реестра:

[HKLM\SOFTWARE\Classes\CLSID\{E4D629C3-78D3-4597-AE36-CC394E39F934}\InprocServer32]
"default" = "%System%\mstmdm.dll"
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"UpdateCheck" = {E4D629C3-78D3-4597-AE36-CC394E39F934}

Деструктивная активность

Троянец создает ключ реестра, в котором хранит свои настройки:

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\StrtdCfg]

В процессе своей работы создает следующие файлы:

%WinDir%\1.txt
%System%\__1.dat
%WinDir%\system32\mswmpdat.tlb
%WinDir%\system32\winview.ocx

Троянец получает сетевые настройки в интернете по следующей ссылке:

http://livenews.*****.cx/update

После чего изменяет адреса DNS серверов текущего активного сетевого соединения на полученные из сети.