На главную страницу
 
 Главная 
 AVZ 
 APS 
 Статьи 
 Литература 
 Ссылки 
 Описания вирусов 
 Аппаратные системы 

AdWare/SpyWare
Backdoor
Hoax
Trojan
Trojan-Clicker
Trojan-Downloader
Trojan-Spy
Trojan-PSW
Net-Worm
Worm
Trojan-Dropper
Trojan-Proxy
Email-Worm
FraudTool
Trojan-Ransom

Поиск по сайту


Книга "Rootkits, SpyWare/AdWare, Keyloggers & BackDoors. Обнаружение и защита (+ CD-ROM)" Музыкальный проект антивирусных специалистов



Главная / Информационная безопасность / Описания вирусов / Trojan-Downloader

Trojan-Downloader.Win32.CWS.j


Rootkit:  Нет
Видимые проявления:  Появление на диске и в автозапуске множества посторонних программ
Файл inetXXXXX\services.exe в автозапуске

Исполняемый файл известен под именем message.exe, размер 13824 байта, сжат UPX. В случае запуска скрытно выполняет следующие операции:
1. Производит попытку удаления C:\web.exe и Documents and Settings\All Users\Start Menu\Programs\Startup\Microsoft Office.hta
2. Обращается к сайту pentalgin.info, передавая в качестве параметра числовой код
3. Копирует свой исполняемый файл в WINDOWS\inet20126\services.exe. После копирования файл запускается
Запущенная из папки WINDOWS\inet20126 копия троянской программы в свою очередь выполняет следующие действия:
1. Производит попытку удаления C:\web.exe и Documents and Settings\All Users\Start Menu\Programs\Startup\Microsoft Office.hta
2. Регистрируется в автозапуске с использованием ключей HKCU\Software\Microsoft\Windows\CurrentVersion\Run\xp_system и HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\xp_system
3. Загружает ряд исполняемый файлов и сохраняет под именами winlogon.exe, mmx340.exe, free.exe, svchost.exe, syswin.exe, OEM.exe в текущем каталоге
Загруженные и запущенные программы являются троянскими приложениями класса Trojan-Proxy.Win32.Agent и Trojan-Spy.Win32.Agent.

Назад в раздел  





џндекс цитированиЯ
(С) Зайцев О.В.
2003-2016

При использовании любых материалов данного сайта необходимо указывать источник информации.