Trojan.Tannick

При запуске Trojan.Tannick выполняет следующие действия:

1.Создает пустой файл xtempx.xxx в %system% директории

2. Копирует себя в %system%\X3YY директорию или в "Microsoft\X3YY" поддиректорию директории, прописанной в реестре:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\AppData 
  имя файла <8 случайных символов>.exe. 

3. Прописывается в следующих ключах реестра:

 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"x3yy" = <path to Trojan>   

4. Пытается прочитать конфигурационную информацию из своего тела. Информация включает следующее:

Два URL, из которых троян пытается загрузить файлы

FTP сайт, на который троян пытается отослать украденную информацию

Имя пользователя и пароль, которые использует троян, чтобы войти на FTP сервер.

5. Пытается загрузить и выполнить файл из одного из URL из шага 4.

6. Заменяет загрузочную страницу Internet Explorer на "about:blank".

7. Пытается удалить следующие процессы:

  # ZONEALARM.EXE
  # WFINDV32.EXE
  # WEBSCANX.EXE
  # VSSTAT.EXE
  # VSHWIN32.EXE
  # VSECOMR.EXE
  # VSCAN40.EXE
  # VETTRAY.EXE
  # VET95.EXE
  # TDS2-NT.EXE
  # TDS2-98.EXE
  # TCA.EXE
  # TBSCAN.EXE
  # SWEEP95.EXE
  # SPHINX.EXE
  # SMC.EXE
  # SERV95.EXE
  # SCRSCAN.EXE
  # SCANPM.EXE
  # SCAN95.EXE
  # SCAN32.EXE
  # SAFEWEB.EXE
  # RESCUE.EXE
  # RAV7WIN.EXE
  # RAV7.EXE
  # PERSFW.EXE
  # PCFWALLICON.EXE
  # PCCWIN98.EXE
  # PAVW.EXE
  # PAVSCHED.EXE
  # PAVCL.EXE
  # PADMIN.EXE
  # OUTPOST.EXE
  # NVC95.EXE
  # NUPGRADE.EXE
  # NORMIST.EXE
  # NMAIN.EXE
  # NISUM.EXE
  # NAVWNT.EXE
  # NAVW32.EXE
  # NAVNT.EXE
  # NAVLU32.EXE
  # NAVAPW32.EXE
  # N32SCANW.EXE
  # MPFTRAY.EXE
  # MOOLIVE.EXE
  # LUALL.EXE
  # LOOKOUT.EXE
  # LOCKDOWN2000.EXE
  # JEDI.EXE
  # IOMON98.EXE
  # IFACE.EXE
  # ICSUPPNT.EXE
  # ICSUPP95.EXE
  # ICMON.EXE
  # ICLOADNT.EXE
  # ICLOAD95.EXE
  # IBMAVSP.EXE
  # IBMASN.EXE
  # IAMSERV.EXE
  # IAMAPP.EXE
  # F-STOPW.EXE
  # FRW.EXE
  # FP-WIN.EXE
  # F-PROT95.EXE
  # F-PROT.EXE
  # FPROT.EXE
  # FINDVIRU.EXE
  # F-AGNT95.EXE
  # ESPWATCH.EXE
  # ESAFE.EXE
  # ECENGINE.EXE
  # DVP95_0.EXE
  # DVP95.EXE
  # CLEANER3.EXE
  # CLEANER.EXE
  # CLAW95CF.EXE
  # CLAW95.EXE
  # CFINET32.EXE
  # CFINET.EXE
  # CFIAUDIT.EXE
  # CFIADMIN.EXE
  # BLACKICE.EXE
  # BLACKD.EXE
  # AVWUPD32.EXE
  # AVWIN95.EXE
  # AVSCHED32.EXE
  # AVPUPD.EXE
  # AVPTC32.EXE
  # AVPM.EXE
  # AVPDOS32.EXE
  # AVPCC.EXE
  # AVP32.EXE
  # AVP.EXE
  # AVNT.EXE
  # AVKSERV.EXE
  # AVGCTRL.EXE
  # AVE32.EXE
  # AVCONSOL.EXE
  # AUTODOWN.EXE
  # APVXDWIN.EXE
  # ANTI-TROJAN.EXE
  # ACKWIN32.EXE
  # _AVPM.EXE
  # _AVPCC.EXE
  # _AVP32.EXE
  # NVSVC32.EXE
  # NPROTECT.EXE
  # SAVSCAN.EXE
  # ARMOR2NET.EXE
  

8. Открывает и загружает файл %system%\unic_32.dll. Этот файл выполняет следующие действия:

Открывает пустой файл %system%\op32mp.log

Мониторит Web сайты, которые посещает пользователь и регистрирует информацию в файл named _post.log, который создается в той же директории в которую троян копируется в шаге 2.

9. Регистрирует себя как сервис.