Trojan.Win32. Agent.eiyv

Троянская программа, выполняющая деструктивные действия на компьютере пользователя. Является динамической библиотекой Windows (PE-DLL файл).

Троянская программа, выполняющая деструктивные действия на компьютере пользователя. Является динамической библиотекой Windows (PE-DLL файл). Имеет размер 56320 байт. Написана на C++.


name="doc3">

Деструктивная активность

Троянская библиотека экспортирует функцию с именем "Execute", при вызове которой выполняются следующие действия:

  • создается каталог:
    %Program Files%\KAV
  • Из тела троянца извлекаются файлы, сохраняемые в созданном каталоге как
    %Program Files%\KAV\CDriver.sys
    (11392 байта; детектируется Антивирусом Касперского как "Rootkit.Win32.Agent.bhvr")

    Руткит предназначен для сокрытия проявлений активности троянца в системе.

    %Program Files%\KAV\CDriver.Inf (4173 байта)
    При помощи данного файла инициализации осуществляется установка драйвера руткита.
  • Удаляется ветвь системного реестра и все вложенные ключи:
    [HKLM\System\CurrentControlSet\Services\McShield]
  • Запускается системная утилита "sc.exe" со следующими параметрами:
    sc stop ZhuDongFangYu
     sc delete ZhuDongFangYu
     sc stop 360rp
     sc delete 360rp
     sc stop RsRavMon
     sc delete RsRavMon
     sc stop McNASvc
     sc delete McNASvc
     sc stop MpfService
     sc delete MpfService
     sc stop McProxy
     sc delete McProxy
     sc stop McShield 
     sc delete McShield
     sc stop McODS 
     sc delete McODS 
     sc stop mcmscsvc 
     sc delete mcmscsvc 
     sc stop McSysmon 
     sc delete McSysmon 
     sc stop ekrn 
     sc delete ekrn 
     sc stop PolicyAgent
     
    Таким образом, производится остановка и удаление служб:
    ZhuDongFangYu
     360rp
     RsRavMon
     McNASvc
     MpfService
     McProxy
     McShield
     McODS
     mcmscsvc
     McSysmon
     ekrn
     
    а также остановка службы "PolicyAgent".
  • Если в адресное пространство какого-либо процесса, запущенного в системе, подгружены библиотеки:
    safemon.dll
     RavExt.dll
     
    то они будут выгружены.