Trojan-Proxy.Win32. Dlena.lh
13 апреля, 2010
Троянская программа, осушествляюшая деструктивную деятельность на компьютере. Является исполняемым файлом Windows. Имеет размер 35840 байт. Написана на C.
Инсталляция
Троянец копирует свое тело в системный каталог Windows под именем "rpcc.exe "
%system%\rpcc.exe.
И записывает себя в автозагрузку при помощи ключа реестра:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
CurrentVersion\Run\
"WindowsHive" -> "%windir%\system32\rpcc.exe"
A также создает запись в следующей ветке реестра для хранения своей информации:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\WinOpts
Деструктивная активность
Данная вредоносная программа, предназначенна для осуществления злоумышленником несанкционированного пользователем анонимного доступа к различным интернет-ресурсам через компьютер-жертву. Троянец создает следующие ключи реестра для создания proxy сервера:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Hardwa re
Profiles\Current\Software\Microsoft\windows\Curren tVersion\
Internet Settings ProxyEnable -> "1"
HKEY_CURRENT_CONFIG\Software\Microsoft\windows\
CurrentVersion\Internet Settings
ProxyEnable -> "1"
При запуске троянец создает два потока внутри процесса winlogon.exe или svchost.exe, которые и выполняют всю деструктивную деятельность.
Программа соединяется со следующими адресами:
69.41.182.75
72.36.224.114
69.41.170.246
И получает от них команды злоумышленника, который может производить с компьютером следующие действия:
Скачивать и запускать файлы на зараженном компьютере.
Производить поиск email-адресов на компьютере, а также проводить рассылки спама по этим адресам.
Для рассылки спама могут быть использованы также следующие сервера:
mindspring.com
yahoo.com
microsoft.com
__________________
|