Trojan-Proxy.Win32. Agent.ccw
20 апреля, 2010
Вредоносная программа, предназначенная для осуществления злоумышленником несанкционированного пользователем анонимного доступа к различным интернет-ресурсам через компьютер-жертву.
Инсталляция
При запуске программа копирует свой исполняемый файл в следующий каталог:
C:\RECYCLER\S-1-5-21-0243336031-4052116379-
881863308-0851\vse432.exe
Для автоматического запуска при каждом следующем старте системы вредоносная программа добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"12CFG914-K641-26SF-N32P" = "<filepath>"
Где <filepath> - путь к файлу с вредоносной программой.
Деструктивная активность
Вредоносная программа внедряет свой код в адресное пространство процесса explorer.exe, внутри которого соединяется с электронным адресом
jiri.alwaysproxy4.info:1199
При успешном подключении программа принимает от злоумышленника сетевой адрес, с которым впоследствии соединяется. Далее программа начинает работать в роли прокси-сервера, т.е. пересылает все сетевые пакеты, полученные от злоумышленника на этот сетевой адрес, а также в обратном направлении.
Таким образом, злоумышленник может создавать сетевые соединения с удаленными серверами через зараженный компьютер.
__________________
|