Троянская программа, выполняющая деструктивные действия на компьютере пользователя.
Инсталляция
При запуске троянец копирует себя в следующие папки под следующими именами:
%Documents and Settings%\%user%\Start Menu\Programs\Startup\RavMonE.exe
%Documents and Settings%\%user%\Start Menu\Programs\Startup\avp.exe
%System%\RavMon.exe
Троянец создает следующий ключ в системном реестре, в котором указаны данные инсталляции:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\rm]
Также создает следующие значения:
[HKCR\Software\Microsoft\Internet Account] "Expire Days" = "dword:8" [HKCR\Control Panel\Desktop] "AutoEndTasks" = "1"
Для автоматического запуска при каждом следующем старте системы троянец добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"RavAV" = "%Documents and Settings%\%user%\Start Menu\Programs\Startup\RavMonE.exe"
"RavMon" = "%System%\RavMon.exe"
Деструктивная активность
Данная троянская програма представляет собой клавиатурный шпион с возможностью удаленного управления и функцией червя.
Вредоносная программа распространяется через сменные носители.
Копирует себя на сменный диск под именем RavMonE.exe и создает файл автозапуска autorun.inf, который запускает исполняемый файл троянца, каждый раз, когда пользователь открывает зараженный раздел при помощи программы «Проводник».
Троянец завершает следующие процессы, если такие присутствуют в системе:
cmmon32.exe iexp1ore.exe IEXPL0RE.EXE iexpl0re.exe Logo1_.exe RUNDL132.EXE rundl132.exe Servera.exe Servere.exe SLcc.exe wuauclt1.exe
Данные процессы являются процессами других вредоносных программ.
Троянец устанавливает клавиатурный перехват, при помощи библиотеки, созданной троянцем во временном каталоге текущего пользователя Windows:
%Temp%\h.tmp
Троян следит за клавиатурным вводом пользователя и сохраняет протокол в следующий файл:
%Temp%\keys.log
Собранную информацию троянец отправляет на электронный адрес злоумышленника:
ais@darch***.ru
ais@mail***.ru
apiit@***tmb.ru
artemov@***tmb.ru
biblme@***tmb.ru
bjd@***tmb.ru
bmt@***.ru
brodovich@sir***.ru
brusentsov@mail***.ru
chemistry@***.ru
coord@coord***.ru
crems@crems.jesby***.ru
cybertech@jesby***.ru
decan_hist@***tmb.ru
dmitr2002@***tmb.ru
dmsh@dmsh***.ru
docc@asp***.ru
eco@nnn***.ru
egorov@mail***.ru
elters@crimeinfo.jesby***.ru
ernest@***tmb.ru
feodorov@***tmb.ru
fmf@***tmb.ru
fmo@decin***.ru
frolov@nnn***.ru
frolow@mail.ahp***.ru
galygin@nis***.ru
gaps@gaps-gw***.ru
gena@des***.ru
golovin@***tmb.ru
gromov@is***.ru
helen@***tmb.ru
hist@nnn***.ru
ibr@libr***.ru
intep@ng***.ru
ipu@ahp***.ru
ivolgin@***tmb.ru
kafedra@asp***.ru
kafedra@mail.gaps***.ru
kalinin@nauka***.ru
kalinin@nauka2***.ru
kchic@kch***.ru
ket@ket***.ru
kmm@***tmb.ru
korenkov@***tmb.ru
kulikov@apmath***.ru
kurs_podg@***tmb.ru
kvidep@cen***.ru
kvipri@ce***.ru
kyv@ahp***.ru
kzis@kzis***.ru
law@gis***.ru
litovka@mail.sapr***.ru
lopatin@***tmb.ru
lvi@gidra***.ru
malaschonok@math-iu***.ru
mmf@mmf***.ru
msh@msh3***.ru
nat@evro***.ru
ns@***tmb.ru
olga@nnn***.ru
olimp@olimp***.ru
oord@coord***.ru
phys@mail***.ru
phys@phys***.ru
polymers@asp***.ru
polymers@babylon.jesby***.ru
portal@tstu.ru
post@mcms***.ru
post@ums***.ru
ppc@ppc***.ru
pr@nnn***.ru
PR@PR***.ru
pvp@phys***.ru
quality@asp***.ru
rector@***tmb.ru
resbn@jesby***.ru
root@msh***.ru
root@msh3***.ru
root@phys***.ru
sekr@nnn***.ru
sekr1@mail***.ru
Shibkov@***tmb.ru
slava@ahp-gw***.ru
soprm@mail***.ru
sport@sportkaf***.ru
sss@nnn***.ru
studklub@show***.ru
szhulikov@***tmb.ru
tmm-dm@tmm-dm***.ru
tmmsii@tmmsii.jesby***.ru
tolmat@teorm***.ru
topt@topt***.ru
tso@almamater-tv***.ru
tso@mail***.ru
tva@ul***.ru
tyurin@***tmb.ru
u0077@pisetski***.ru
uaa@hmd***.ru
uhachov@***tmb.ru
umo@nnn***.ru
umo@umo***.ru
uov@pk***.ru
vat@dzs***.ru
vera@vera***.ru
vk@mail***.ru
vk@midl***.ru
zheltov@***tmb.ru
Также троянец ведет отладочный протокол своей работы в файле:
%Documents and Settings%\Local Settings\Temp\curse--.tmp
где
Троянец завершает следующие процессы, принадлежащие сетевым экранам и антивирусным программам:
AAKSRV.EXE AlogServ.exe APVXDWIN.EXE Avconsol.exe Avengine.exe avgamsvr.exe avgcc.exe avgemc.exe AVGNT.EXE AVGUARD.EXE avgupsvc.exe avgwb.dat avp.exe Avsynmgr.exe AVWIN.EXE bdagent.exe bdlite.exe bdmcon.exe bdss.exe cmdagent.exe cpf.exe FileMon.exe FileMonNT.exe FireWall.exe Iface.exe jpf.exe jpfsrv.exe KAVPF.exe kfsensmonitor.exe kfsnserv.exe KillProcess.exe kpf4gui.exe lpfw.exe lpfw.exe mantispm.exe mcagent.exe mcdash.exe Mcdetect.exe Mcshield.exe McTskshd.exe mghtml.exe Monitor.exe MpfAgent.exe MpfService.exe MpfTray.exe OllyDbg.EXE outpost.exe Pavfires.exe PAVJOBS.EXE Pavproxy.exe Pavsrv51.exe Regmon.exe RegMonNT.exe safensec.exe ScanningProcess.exe sdhelp.exe snsmcon.exe spyxx.exe swdoctor.exe Unamon.exe UnaSvc.exe VSHWIN32.EXE VsMain.exe vsserv.exe VSStat.exe wlinject.exe xcommsvr.exe zlclient.exe
Цифровые следы - ваша слабость, и хакеры это знают. Подпишитесь и узнайте, как их замести!