Троянская программа, предназначенная для удаленного управления злоумышленником пораженным компьютером.
Троянская программа, предназначенная для удаленного управления злоумышленником пораженным компьютером. Является приложением Windows (PE EXE-файл). Имеет размер 258048 байт. Упакована ASPack. Распакованный размер – около 673 КБ. Написана на Delphi.
Троянская программа загружает файл по следующему URL:
http://fatalsoft.tamb.ru/action.actи сохраняет его под именем action.act в текущую папку.
В этом файле содержится команда. Возможны 3 команды: Normal, Pause, Delete.
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"FSStarter" = "fsstarter.exe"
http://smart-ip.net/_res/userbar/blue-bar.gifОни содержат информацию об IP адресе пользователя.
http://www.ip-ping.ru/informer.gif
http://fatalsoft.tamb.ru/fslinklist.lstв котором находятся ссылки вида:
http://www.depositfiles.com/ru/files/Троян загружает их, затем выполняет.
http://fatalsoft.tamb.ru/fsreflist.lstв котором находятся URL куда троян загружает файл fsreport.rep, содержащий blue-bar.gif и informer.gif.
Троян ожидает указанное количество миллисекунд, затем загружает файл action.act заново.
blue-bar.gif,
informer.gif,
fsreport.rep,
FSManager.exe,
fsstarter.exe,
fsversion.ver.
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
“FSStarter”.
Software\Microsoft\Windows\CurrentVersion\RunOnceПосле выполнения команды троянец пытается загрузить следующую команду.
“Selfdel9” = command.com /C del
“SelfdelNT” = cmd /C del