На главную страницу
 
 Главная 
 AVZ 
 APS 
 Статьи 
 Литература 
 Ссылки 
 Описания вирусов 
 Аппаратные системы 

AdWare/SpyWare
Backdoor
Hoax
Trojan
Trojan-Clicker
Trojan-Downloader
Trojan-Spy
Trojan-PSW
Net-Worm
Worm
Trojan-Dropper
Trojan-Proxy
Email-Worm
FraudTool
Trojan-Ransom

Поиск по сайту


Книга "Rootkits, SpyWare/AdWare, Keyloggers & BackDoors. Обнаружение и защита (+ CD-ROM)" Музыкальный проект антивирусных специалистов



Главная / Информационная безопасность / Описания вирусов / Trojan-Proxy

Trojan-Proxy.Win32.Lager.ab


Rootkit:  Нет

Trojan-Proxy.Win32.Lager.ab интересен тем, что его файлы сжаты криптером/пакером, и файл на WEB сервере постоянно переупаковывается, т.е. в случае повторной загрузки "зверя" его исполняемые файлы существенно различаются. В упакованном файле сам зверь находится в секции "crpt" этого файла.
В ходе запуска он создает sysvcs.exe в папке system32, обменивается с Инет, внутри у него прописан URL
хттп://69.50.184.90/cntr/bin/latest.exe прямо открытым текстом, и еще
есть адреса:
хттп://69.50.184.90/cntr/ab.php
хттп://69.50.161.106/d/ab.php
хттп://65.75.151.190/d/ab.php

sysvcs.exe импортирует RASAPI, Wininet, UrlMon. Проявляет бурную сетевую активность, обмен ведет по порту 25. Назначение этой программы - рассылка спама.
sysvcs.exe не создает окон, маскировку процесса не применяет.
Прописывается на автозапуск стандартным способом - в ключ реестра RUN, параметр с именем aupd.
В расшифрованном теле содержатся строки "Windows update Service" и
"Provide Windows update", а так-же заготовка bat-файла вида:
@echo off
:start1
if not exist %s goto done1
del %s
goto start1
:done1
~update.exe
:start2
if not exist ~update.exe goto done2
del ~update.exe
goto start2
:done2
del update.bat ~update.exe update.bat log.txt


В теле sysvcs.exe есть типовой код и константы для обмена по электронной почте и отправки данных по методу POST.
Файл ~update.exe создается на диске в папке System32, имеет размер 4 кб, сжатия и шифровки нет, является типичным Trojan-Downloader.
Кроме всего прочего "зверь" создает в System32 файл zlbw.dll - это библиотека компрессии, не представляющая опасности.

Назад в раздел  





џндекс цитированиЯ
(С) Зайцев О.В.
2003-2016

При использовании любых материалов данного сайта необходимо указывать источник информации.