Trojan-Dropper.Win32. Small.fvm

Троянская программа, позволяющая злоумышленнику использовать зараженную машину в качестве прокси-сервера без ведома пользователя. Является приложением Windows (PE-EXE файл). Имеет размер 41671 байт. Написана на C++.

Инсталляция

После запуска троянец копирует свое тело в следующий файл:

C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308
-1811\vsbntlo.exe

Также создается файл:

C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308
-1811\Desktop.ini

Для автоматического запуска созданной копии при каждом следующем старте системы создается ключ системного реестра:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"12CFG214-K641-12SF-N85P" = "C:\RECYCLER\S-1-5-21-
0243936033-3052116371-381863308-1811\vsbntlo.exe"

name="doc3">

Деструктивная активность

После запуска троянец внедряет в адресное пространство процесса "EXPLORER.EXE" исполняемый код, реализующий следующий функционал:

• устанавливается соединение с хостом:

  209.***.221

• Запускается SOCKS прокси-сервер на TCP-порте 1199. После этого злоумышленник получает возможность использовать зараженную машину в качестве прокси-сервера.