Trojan.Win32.Agent. aan
Троянская программа, предназначенная для инсталляции в систему других программ.
Деструктивная активность
Данный троянец предназначен для установки в систему другой программы.
После запуска троянец выполняет следующие действия:
* создает следующий параметр в ключе системного реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\Run]
"load"="%System%\ssms.exe"
* изменяет значение параметра в ключе реестра:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"Hidden"="2"
Далее троянец проверяет наличие следующего файла на всех разделах жесткого диска:
%Disk%:\RECYCLER\mshta.exe
Если файл не существует, выполняет следующие действия:
1. Копирует файл svids.dll из системной папки Windows под следующим именем:
%Disk%:\RECYCLER\~
2. Копирует файл xactsvr.dll из системной папки Windows под следующим именем:
%Disk%:\RECYCLER\mshta.exe
После этого троянец создает в корне разделов файл autorun.inf, который содержит следующие строки:
[AutoRun]
open=RECYCLER\mshta.exe
Таким образом, когда пользователь открывает в программе «Проводник» зараженные разделы запускается файл mshta.exe из открываемого раздела.
Большой брат следит за вами, но мы знаем, как остановить его