Trojan-Proxy.Win32. Agent.is

Троянская программа, позволяющая злоумышленнику использовать зараженную машину в качестве прокси-сервера. Является приложением Windows (PE EXE-файл). Написана на Visual C++. Размер зараженного файла — 172 528 байт.

Инсталляция

После запуска троянец регистрирует себя в ключе автозапуска системного реестра:

  [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
   "Anti-Virus Update Scheduler V1.39.12R"=<путь до троянской программы>

При каждой следующей загрузке Windows автоматически запустит файл-троянец.

Деструктивная активность

После запуска троянец открывает произвольный TCP порт и посылает http запрос с указанием прослушиваемого порта и номера версии:

  http://prox***.be/file/enter.php

Это дает возможность злоумышленнику работать в сети от имени «зараженного» хоста, создавая иллюзию работы именно с этой машины.