Trojan.Win32. Agent.dcc

Троянская программа, выполняющая деструктивные действия на компьютере пользователя. Является приложением Windows (PE-EXE файл). Имеет размер 20480 байт.

Инсталляция

После запуска троянец копирует свой исполняемый файл как:

%System%\drivers\runtime.sys

Для автоматического запуска при каждом следующем старте системы троян создает системную службу с именем "Runtime", которая запускает исполняемый файл трояна при каждой последующей загрузке Windows. При этом создается следующий ключ реестра:

[HKLM\SYSTEM\CurrentControlSet\Services\runtime]

После успешной инсталляции троян удаляет свой оригинальный файл.

Деструктивная активность

Троянская программа содержит руткит драйвер, который скрывает наличие файлов троянца на жестком диске, а так же следующих файлов:

%System%\ntoskrnl.exe
%System%\ntkrnlpa.exe
%System%\ntkrnlmp.exe
%System%\ntkrpamp.exe

И их процессов в системе.

Также троянец запускает скрытый процесс "iexplore.exe", в который внедряет свой код, который скачивает файлы со следующих адресов:

208.66.194.***
66.246.252.***
208.66.195.***
74.53.42.***
74.53.42.***

Скачанные файлы сохраняются под именами вида:

%Temp%\.exe,

где rnd – случайная последовательность цифр.

После успешной загрузки файлы запускаются на выполнение.