Backdoor.Win32. Agent.amru
Троянская программа, устанавливающая другие программы на компьютере пользователя без его ведома.
Троянская программа, устанавливающая другие программы на компьютере пользователя без его ведома. Является приложением Windows (PE-EXE файл). Имеет размер 40960 байт. Написана на C++.
name="doc3">
Деструктивная активность
После запуска троянец получает идентификатор набора национальных параметров LCID, и проверяет первичный идентификатор национального языка. Если он соответствует одному из следующих значений:
Uzbekто троянец удаляет свой оригинальный файл и завершает работу.
Ukrainian
Azeri
Kyrgyz
Tatar
Belarusian
Kazakh
Bashkir
Divehi
Armenian
Yakut
Russian
В противном случае, троянец выполняет следующие действия:
- извлекает из своего тела файлы, которые сохраняются в системе под следующими именами:
%System%\mscert.dll
(36352 байта; детектируется Антивирусом Касперского как "Backdoor.Win32.Agent.amrt")%System%\rdolib.dll
(30720 байт; детектируется Антивирусом Касперского как "Backdoor.Win32.Agent.amrr") - Создает ключи системного реестра:
[HKLM\System\CurrentControlSet\Control\Session
Manager\AppCertDlls]
"AppSecDll" = "%System%\mscert.dll"
[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs" = "%System%\rdolib.dll"
"LoadAppInit_DLLs" = "1"
Таким образом, извлеченные троянцем библиотеки будут внедряться в адресные пространства всех процессов, запускаемых в системе.
После этого троянец завершает свою работу.
Оригинальный файл троянца будет удален во время очередной перезагрузки системы.
Тени в интернете всегда следят за вами