Backdoor.Win32. Agent.amru

Троянская программа, устанавливающая другие программы на компьютере пользователя без его ведома.

Троянская программа, устанавливающая другие программы на компьютере пользователя без его ведома. Является приложением Windows (PE-EXE файл). Имеет размер 40960 байт. Написана на C++.


Деструктивная активность

После запуска троянец получает идентификатор набора национальных параметров LCID, и проверяет первичный идентификатор национального языка. Если он соответствует одному из следующих значений:

Uzbek
Ukrainian
Azeri
Kyrgyz
Tatar
Belarusian
Kazakh
Bashkir
Divehi
Armenian
Yakut
Russian
то троянец удаляет свой оригинальный файл и завершает работу.

В противном случае, троянец выполняет следующие действия:

  • извлекает из своего тела файлы, которые сохраняются в системе под следующими именами:
    %System%\mscert.dll
    (36352 байта; детектируется Антивирусом Касперского как "Backdoor.Win32.Agent.amrt")
    %System%\rdolib.dll
    (30720 байт; детектируется Антивирусом Касперского как "Backdoor.Win32.Agent.amrr")
  • Создает ключи системного реестра:
    [HKLM\System\CurrentControlSet\Control\Session
    Manager\AppCertDlls]
    "AppSecDll" = "%System%\mscert.dll"

    [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows]
    "AppInit_DLLs" = "%System%\rdolib.dll"
    "LoadAppInit_DLLs" = "1"

Таким образом, извлеченные троянцем библиотеки будут внедряться в адресные пространства всех процессов, запускаемых в системе.

После этого троянец завершает свою работу.

Оригинальный файл троянца будет удален во время очередной перезагрузки системы.