Trojan-Proxy.Win32. Dlena.lh

13.04.2010

Троянская программа, осушествляюшая деструктивную деятельность на компьютере.

Троянская программа, осушествляюшая деструктивную деятельность на компьютере. Является исполняемым файлом Windows. Имеет размер 35840 байт. Написана на C.

Инсталляция

Троянец копирует свое тело в системный каталог Windows под именем "rpcc.exe "

%system%\rpcc.exe.

И записывает себя в автозагрузку при помощи ключа реестра:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
CurrentVersion\Run\
"WindowsHive" -> "%windir%\system32\rpcc.exe"

A также создает запись в следующей ветке реестра для хранения своей информации:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\WinOpts

name="doc3">

Деструктивная активность

Данная вредоносная программа, предназначенна для осуществления злоумышленником несанкционированного пользователем анонимного доступа к различным интернет-ресурсам через компьютер-жертву. Троянец создает следующие ключи реестра для создания proxy сервера:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Hardware
Profiles\Current\Software\Microsoft\windows\CurrentVersion\
Internet Settings ProxyEnable -> "1"
HKEY_CURRENT_CONFIG\Software\Microsoft\windows\
CurrentVersion\Internet Settings
ProxyEnable -> "1"

При запуске троянец создает два потока внутри процесса winlogon.exe или svchost.exe, которые и выполняют всю деструктивную деятельность.

Программа соединяется со следующими адресами:

69.41.182.75
72.36.224.114
69.41.170.246

И получает от них команды злоумышленника, который может производить с компьютером следующие действия:

Скачивать и запускать файлы на зараженном компьютере.
Производить поиск email-адресов на компьютере, а также проводить рассылки спама по этим адресам.

Для рассылки спама могут быть использованы также следующие сервера:

mindspring.com
yahoo.com
microsoft.com

Устали от того, что Интернет знает о вас все?

Присоединяйтесь к нам и станьте невидимыми!

Trojan-Proxy.Win32. Dlena.lh

Инсталляция

Деструктивная активность

Устали от того, что Интернет знает о вас все?

Новости по теме

Вирус OfflRouter уже почти 10 лет остаётся незамеченным в правительственных сетях Украины

Взлом ООН: 8Base наносит мощный удар по борцам с неравенством

Kapeka: новый шпионский инструмент Sandworm атакует Европу

Первый воздушный бой между ИИ и человеком показали в США

Брешь в Cisco IMC: когда хакеры становятся администраторами за пару минут

ФБР объявила охоту на владельца ботнет-сети из Молдовы

Защита данных по-новому: российские IT-компании внедряют единый стандарт безопасности

Интернет-изгои: SpaceX отключает Starlink в «серых» зонах, оставляя миллионы людей без связи

Там, где рождаются кибервымогатели: Sophos исследовала колыбель зла в даркнете

Trojan-Proxy.Win32. Dlena.lh

Инсталляция

Деструктивная активность

Устали от того, что Интернет знает о вас все?

Новости по теме

Вирус OfflRouter уже почти 10 лет остаётся незамеченным в правительственных сетях Украины

Взлом ООН: 8Base наносит мощный удар по борцам с неравенством

Kapeka: новый шпионский инструмент Sandworm атакует Европу

Первый воздушный бой между ИИ и человеком показали в США

Брешь в Cisco IMC: когда хакеры становятся администраторами за пару минут

ФБР объявила охоту на владельца ботнет-сети из Молдовы

Защита данных по-новому: российские IT-компании внедряют единый стандарт безопасности

Интернет-изгои: SpaceX отключает Starlink в «серых» зонах, оставляя миллионы людей без связи

Там, где рождаются кибервымогатели: Sophos исследовала колыбель зла в даркнете

Подпишитесь на email рассылку