Trojan.Win32. Agent2.cqol

Троянская программа, выполняющая деструктивные действия на компьютере пользователя. Является приложением Windows (PE-EXE файл).

Троянская программа, выполняющая деструктивные действия на компьютере пользователя. Является приложением Windows (PE-EXE файл). Имеет размер 22114 байт. Написана на C++.


Деструктивная активность

После запуска троянец создает новую оконную станцию (WindowStation) с именем "WndSt1" и связывает свой процесс с данной станцией. После этого вредонос отправляет POST запрос на сервер злоумышленника:

http://g***up.com
В запросе вредоносом передаются следующие данные:
p=2gm9his
Сервер злоумышленника в ответе отправляет троянцу команды для выполнения и дополнительные параметры, необходимых для полноценной работы троянца. Например ответ от сервера может содержать следующие строки:
sn

nc n
-u top-***ervice.com
-b 46 12
-c 1 10
-i 4-24
ec
Команды для троянцев обновляются и высылаются сервером несколько в сутки. Затем троянец определяет установленный в системе браузер по умолчанию, прочитав значения ключа реестра:
[HKCR\HTTP\shell\open\command]
Троянец при помощи командной строки запускает на выполнение браузер и передает ему в качестве параметра адрес ресурса, который был заранее получен от сервера злоумышленника. Далее, используя функцию EnumWindows (), троянец находит окна с именами классов "OpWindow", " IEFrame", "MozillaUIWindowClass" - главные окна браузеров Internet Explorer, Opera, Mozilla FireFox. Следит за работой пользователя в браузере и похищает вводимую пользователем информацию. Похищенную информацию троянец отправляет на сервер злоумышленника:
http://g***up.com
В запросе POST отправляет данные следующего вида:
t=t&r=2&e0=0&e1=14&p=2gm9his&i=4-24&cq=8&sq=1