На главную страницу
 
 Главная 
 AVZ 
 APS 
 Статьи 
 Литература 
 Ссылки 
 Описания вирусов 
 Аппаратные системы 

AdWare/SpyWare
Backdoor
Hoax
Trojan
Trojan-Clicker
Trojan-Downloader
Trojan-Spy
Trojan-PSW
Net-Worm
Worm
Trojan-Dropper
Trojan-Proxy
Email-Worm
FraudTool
Trojan-Ransom

Поиск по сайту


Книга "Rootkits, SpyWare/AdWare, Keyloggers & BackDoors. Обнаружение и защита (+ CD-ROM)" Музыкальный проект антивирусных специалистов



Главная / Информационная безопасность / Описания вирусов / Trojan-Downloader

Trojan-Downloader.Win32.Agent.bfw


Rootkit:  Нет
Видимые проявления:  Посторонний исполняемый файл system32\upnp.exe
Посторонний BHO system32\helper.dll

Исполняемый файл известен под именем upnp.exe, размещается в папке WINDOWS\System32, размер 20 кб, сжат Aspack, описание файла в копирайтах "upnp manager". В случае запуска скрытно выполняет следующие операции:
1. Если имя отлично от windows\system32\upnp.exe, то он копирует свой исполняемый файл в windows\system32\upnp.exe, запускает его и завершает работу.
2. Создает в реестре ключ HKCU\Software\unker и ряд вложенных ключей в нем. Запоминает в параметра HKCU\Software\unker\upnp\main\cid некий уникальный код компьютера
3. Передает на сайт в Интеренет отчет об установке, содержащий идентификатор компьютера, язык операционной системы и ряд других параметров
4. Загружает с сайта doorcoach.com исполняемый файл и сохраняет его под именем WINDOWS\demo3.exe размером 59 кб. После загрузки файл запускается. Файл demo3.exe является вредоносной программой - в результате деятельности demo3.exe создается файл system32\helper.dll, который регистрируется в качестве BHO для Internet Explorer

Назад в раздел  





џндекс цитированиЯ
(С) Зайцев О.В.
2003-2016

При использовании любых материалов данного сайта необходимо указывать источник информации.