Security Lab

Trojan-Downloader.Win32.Agent.zf

Trojan-Downloader.Win32.Agent.zf

Резидентная троянская программа, написана на Microsoft Visual C++.

Резидентная троянская программа, написана на Microsoft Visual C++. Является приложением Windows (PE EXE-файл). Размер файла — 7013 байт. Встречаются версии данного троянца, размер которых существенно варьируется.
name="doc3">Деструктивная активность

После запуска троянец копирует себя в корневой каталог Windows с именем SERVICES.EXE и запускает свою копию на исполнение.

%Windir%\SERVICES.EXE

После этого оригинальный запускаемый файл удаляется.

Также троянец создает следующие ключи в системном реестре:

[HKLM\Software\Microsoft\Serenta]
[HKLM\Software\Microsoft\Serenta\Run]

Запущенный троянский процесс SERVICES.EXE в отдельном потоке постоянно создает следующие значения в системном реестре:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
 "SERVICES.EXE"="%Windir%\SERVICES.EXE"

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
 "Shell"="Explorer.exe %Windir%\SERVICES.EXE"
 "Userinit"="C:\WINDOWS\system32\userinit.exe,,%Windir%\SERVICES.EXE"

Таким образом при каждой следующей загрузке Windows автоматически запустит файл троянца.

Завершить троянский процесс не представляется возможным, так как Windows считает его своим системным процессом (%system%\services.exe — вследствие идентичности имени троянца с оригиналом, также запущенным в системе).

Троянская программа также имеет функцию загрузки файлов из интернета и запуска их на компьютере пользователя.

Цифровые следы - ваша слабость, и хакеры это знают.

Подпишитесь и узнайте, как их замести!