Troj/Hanlo-B

Троян взаимодействует с удаленным сервером через HTTP протокол. Троян загружает следующие файлы:

  tBmp107.exe
  tBmp207.exe
  tBmp307.exe
  tBmp407.exe
  tBmp507.exe
  tBmp607.exe
  tBmp707.exe 

и создает файл: \avA6.sys, который определяется как Troj/Haxdor-Gen.

Файл avA6.sys регистрируется как новая служба с именем avA6 с отображаемым именем "AVP update interface A6" в следующем ключе реестра:

  HKLM\SYSTEM\CurrentControlSet\Services\avA6\