Trojan.Win32. Oficla.m
Троянская программа, которая без ведома пользователя загружает из сети Интернет другие вредоносные программы и запускает их на выполнение.
Троянская программа, которая без ведома пользователя загружает из сети Интернет другие вредоносные программы и запускает их на выполнение. Программа является приложением Windows (PE EXE-файл). Имеет размер 20480 байт. Написана на С++.
name="doc3">
Деструктивная активность
После активации троянец извлекает из своего тела динамическую библиотеку DLL во временный каталог текущего пользователя Windows под случайно сгенерированным именем:
%Temp%\<rnd>.tmpГде <rnd> - случайная цифра.
Данный файл имеет размер 19968 байт и детектируется Антивирусом Касперского, как Trojan.Win32.Oficla.m.
Для контроля уникальности своего процесса в системе троянец создает уникальный идентификатор с именем:
3079141585b787f8d1Троянец запускает процесс "svchost.exe" и подгружает в его адресное пространство извлеченную библиотеку. При помощи данной библиотеки троянец производит загрузку файла со следующего URL:
http://fact***od.ru/microsoft/bb.phpНа момент создания описания ссылка не работала.
Загруженный файл сохраняется во временный каталог текущего пользователя Windows под случайного сгенерированным именем после чего запускается на выполнение.
Также файл %Temp%\<rnd>.tmp сохраняется в системный каталог Windows под случайным именем:
%System%\<rnd>.<rnd>Где <rnd> - случайная последовательность букв латинского алфавита, например "rihd.pno".
Для автоматического запуска при следующем старте системы троянец создает ссылку на созданный файл в ключе автозапуска системного реестра:
"Shell" = "Explorer.exe rundll32.exe %System%\<rnd>.<rnd>"
Цифровые следы - ваша слабость, и хакеры это знают.