Trojan.Win32. Agent.bsgm

Вредоносная программа, заражающая файлы на компьютере пользователя. Программа является приложением Windows (PE EXE-файл).

Вредоносная программа, заражающая файлы на компьютере пользователя. Программа является приложением Windows (PE EXE-файл). Имеет размер 22987 байт. Упакована при помощи MEW. Распакованный размер – около 162 КБ. Написана на Visual Basic.

Инсталляция

После запуска вирус создает копии своего тела под следующими именами:

%Temp%\Kill Brontok.exe
%WinDir%\Screen Task.scr
%Documents and Settings%\<username>\taskmgr.exe
Где <username> - имя текущего пользователя Windows.

При этом файлу с именем "taskmgr.exe" устанавливает атрибуты "скрытый" и "системный".

Для автоматического запуска при каждом следующем старте системы вирус добавляет ссылку на копии своего исполняемого файла в ключи автозапуска системного реестра:

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run]
"Task" = "%Documents and Settings%\<username>\taskmgr.exe"

[HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell" = "%WinDir%\Explorer.exe %Documents and Settings%
\<username>\taskmgr.exe"
Для автоматического запуска копии вируса каждые 600 секунд, при бездействии операционной системы, активирует автоматический запуск экранной заставки и прописывает свою копию по пути к файлу экранной заставки, добавив следующую информацию в ключ системного реестра:
[HKCU\Control Panel\Desktop]
"ScreenSaveTimeOut" = "600"
"ScreenSaveActive" = "1"
"SCRNSAVE.EXE" = "%WinDir%\Screen Task.scr"
Вирус копирует свое тело во все доступные на запись сетевые, логические и съемные диски под именем:
<X>:\Boot.exe
Где <X> - буква диска компьютера пользователя.

Также помещает в корень диска сопровождающий файл:

<X>:\autorun.inf
который запускает исполняемый файл вируса, каждый раз, когда пользователь открывает зараженный раздел при помощи программы "Проводник".

Деструктивная активность

Для скрытия расширений исполняемых файлов добавляет следующую информацию в ключ системного реестра:

[HKCR\exefile]
"NeverShowExt"=""
Изменяет параметры работы зон безопасности браузера, добавив следующую информацию в ключи системного реестра:
[HKCU\Software\Microsoft\Windows\CurrentVersion\
Internet Settings\ZoneMap]
"ProxyByPass" = "1"
"IntranetName" = "1"
"UNCAsIntranet" = "1"
На логических дисках компьютера пользователя вирус производит поиск файлов с расширением "htm". Во всех найденных файлах ищет почтовые адреса, на которые отсылает письма следующего вида:

Тема письма:

Reply DataFolder
Текст письма:
Please Save Attachment  File For Detail Data In File
( Save Attachment and after that Open the DataFle Scan Virus)
Имя файла-вложения:
Kill Brontok.exe