Security Lab

Trojan-Spy.Win32. Small.cgl

Trojan-Spy.Win32. Small.cgl

Программа-шпион, предназначенная для сбора информации о зараженной системе.

Программа-шпион, предназначенная для сбора информации о зараженной системе. Является приложением Windows (PE-EXE файл). Имеет размер 5120 байт. Написана на C++.


name="doc3">

Деструктивная активность

После запуска троянец выполняет следующие действия:

  • для контроля уникальности своего процесса в системе создает уникальный идентификатор с именем:
    mutex_senddata_.la
  • Отсылает на сайт злоумышленника HTTP-запросы следующего вида:
    http://vip.el***z.com/admin/co**nt.php?id=
    <ID>&isSucc=1&lockcode=1&mac=<MAC>&PcType=<PCTYPE>&AvName
    =<AVNAME>&ProCount=<PROCOUNT>

    http://vip.el***z.com/admin/co**nt.php?id=<ID>&isLive=1
    где <ID> – случайная последовательность цифр и латинских букв; <MAC> – физический адрес активного сетевого адаптера; <PROCOUNT> – время в миллисекундах с момента старта системы.

    Подстрока "<PCTYPE>" принимает значение "WangbarPc" если в системе запущен один из следующих процессов:

    clsmn.exe
    Barclient.exe
    scon.exe
    BarClientView.exe
    mzdclient.exe
    NBClient.exe
    EWay.exe
    NxpAuxSvc.exe
    В противном случае, "<PCTYPE>" присваивается значение "HomePc".

    Подстрока "<AVNAME>" формируется из имен запущенных в системе процессов антивирусных программ, таких как

    360tray.exe
    360sd.exe
    Ravmond.exe
    avp.exe
    ekrn.exe
    kissvc.exe
    kvsrvxp.exe
    avguard.exe
    MPMon.exe
    Mcshield.exe
    VPTray.exe
    ashWebSv.exe
    Если перечисленные процессы в системе не найдены, "<AVNAME>" принимает значение "OtherOrNone".
После этого троянец завершает свою работу.

Ваш провайдер знает о вас больше, чем ваша девушка?

Присоединяйтесь и узнайте, как это остановить!