Trojan-Proxy. Win32.Cidra.d

Троянская программа, которая скрыто создает прокси-сервер на компьютере пользователя. Является приложением Windows (PE-EXE файл). Имеет размер 27136 байт. Упакована с помощью UPX, распакованный размер — около 60 КБ.

Инсталляция

Для автоматического запуска своего исполняемого файла троянец добавляет следующий параметр в ключ автозагрузки системного реестра:

  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
  "UsbD" = "<путь до исполняемого файла трояна>"

Деструктивная активность

Троянец создает SOCKS прокси-сервер на компьютере пользователя на случайно выбранном порту TCP. После этого номер открытого порта и сетевой адрес компьютера сообщаются на сайт злоумышленника. Последний получает возможность работать в сети от имени зараженной машины без ведома пользователя.

Также вирус периодически осуществляет HTTP-запросы к серверу o.cjdra.com, получая в ответ URL, по которым производит обращение с компьютера пользователя.

Другие названия

Trojan-Proxy.Win32.Cidra.d («Лаборатория Касперского») также известен как: TrojanProxy.Win32.Cidra.d («Лаборатория Касперского»), Proxy-Cidra (McAfee), Trojan.Download.Inor.B (Symantec), BackDoor.Cidra (Doctor Web), Troj/Cidra-D (Sophos), TrojanDownloader:Win32/Cjdra (RAV), TROJ_CIDRA.D (Trend Micro), TR/Cidra.D (H+BEDV), Win32:Cidra-B (ALWIL), Trojan.Cidra.D (SOFTWIN), Worm.Cidra.D (ClamAV), Bck/Cidra.B (Panda), Win32/TrojanProxy.Cidra.D (Eset)