Trojan-Proxy.Win32. Dlena.lh

Троянская программа, осушествляюшая деструктивную деятельность на компьютере.

Троянская программа, осушествляюшая деструктивную деятельность на компьютере. Является исполняемым файлом Windows. Имеет размер 35840 байт. Написана на C.

Инсталляция

Троянец копирует свое тело в системный каталог Windows под именем "rpcc.exe "
%system%\rpcc.exe.
И записывает себя в автозагрузку при помощи ключа реестра:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
CurrentVersion\Run\
"WindowsHive" -> "%windir%\system32\rpcc.exe"
A также создает запись в следующей ветке реестра для хранения своей информации:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\WinOpts

Деструктивная активность

Данная вредоносная программа, предназначенна для осуществления злоумышленником несанкционированного пользователем анонимного доступа к различным интернет-ресурсам через компьютер-жертву. Троянец создает следующие ключи реестра для создания proxy сервера:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Hardware
Profiles\Current\Software\Microsoft\windows\CurrentVersion\
Internet Settings ProxyEnable -> "1"
HKEY_CURRENT_CONFIG\Software\Microsoft\windows\
CurrentVersion\Internet Settings
ProxyEnable -> "1"
При запуске троянец создает два потока внутри процесса winlogon.exe или svchost.exe, которые и выполняют всю деструктивную деятельность.

Программа соединяется со следующими адресами:

69.41.182.75
72.36.224.114
69.41.170.246
И получает от них команды злоумышленника, который может производить с компьютером следующие действия:
  • Скачивать и запускать файлы на зараженном компьютере.
  • Производить поиск email-адресов на компьютере, а также проводить рассылки спама по этим адресам.
Для рассылки спама могут быть использованы также следующие сервера:
mindspring.com
yahoo.com
microsoft.com