 |
 |
 |
|
|
|
Главная / Информационная безопасность / Описания вирусов / Описания вирусов / Trojan-Downloader
03.03.2007
Trojan-Downloader.Win32.Small.egoТроянский загрузчик, размер исполняемого файла 23 кб. В случае запуска скрытно выполняет следующие операции:1. Создает и удаляет файл TEMP\restore.sys 2. Создает файл C:\WINDOWS\System32\runtime.sys (это драйвер для руткит-маскировки процессов Rootkit.Win32.Agent.dw) 3. Создает ключ реестра Runtime в HKLM\SYSTEM\CurrentControlSet\Services\ и регистрирует в нем драйвер runtime.sys 4. Загружает драйвер, после чего уничтожает файл runtime.sys на диске 5. Создает на диске файл TEMP\wuauclt.exe и запускает его 6. запускает cmd.exe с параметрами – в качестве параметра указана команда удаления исходного файла троянской программы и завершает работу. В результате происходит самоуничтожение исходного файла троянской программы 7. wuauclt.exe в свою очередь загружает из Интернет троянскую программу Trojan.Win32.Agent.ady размером 123 кб. 8. Запускает три системных процесса services.exe и внедряет в них троянский код, выполняемый в отдельном потоке. Эти процессы маскируются от обнаружения, AVZ детектирует маскировку 9. Создает файл TEMP\799609.exe размером 34 кб и запускает его. В процессе работы он создает на диске файл WINDOWS\system32\main.sys и регистрирует его в реестре – имя службы EXAMPLE, режим запуска – автозапуск. После этого 799609.exe самоуничтожается |
|
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
|
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| (С) Зайцев О.В.
2003-2022 |
При использовании любых материалов данного сайта необходимо указывать источник информации. |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
