Trojan-Proxy.Win32.Lager.ab
Trojan-Proxy.Win32.Lager.ab интересен тем, что его файлы сжаты криптером/пакером, и файл на WEB сервере постоянно переупаковывается, т.е. в случае повторной загрузки "зверя" его исполняемые файлы существенно различаются. В упакованном файле сам зверь находится в секции "crpt" этого файла.
В ходе запуска он создает sysvcs.exe в папке system32, обменивается с Инет, внутри у него прописан URL
хттп://69.50.184.90/cntr/bin/latest.exe прямо открытым текстом, и еще
есть адреса:
хттп://69.50.184.90/cntr/ab.php
хттп://69.50.161.106/d/ab.php
хттп://65.75.151.190/d/ab.php
sysvcs.exe импортирует RASAPI, Wininet, UrlMon. Проявляет бурную сетевую активность, обмен ведет по порту 25. Назначение этой программы - рассылка спама.
sysvcs.exe не создает окон, маскировку процесса не применяет.
Прописывается на автозапуск стандартным способом - в ключ реестра RUN, параметр с именем aupd.
В расшифрованном теле содержатся строки "Windows update Service" и
"Provide Windows update", а так-же заготовка bat-файла вида:
@echo off
:start1
if not exist %s goto done1
del %s
goto start1
:done1
~update.exe
:start2
if not exist ~update.exe goto done2
del ~update.exe
goto start2
:done2
del update.bat ~update.exe update.bat log.txt
В теле sysvcs.exe есть типовой код и константы для обмена по электронной почте и отправки данных по методу POST.
Файл ~update.exe создается на диске в папке System32, имеет размер 4 кб, сжатия и шифровки нет, является типичным Trojan-Downloader.
Кроме всего прочего "зверь" создает в System32 файл zlbw.dll - это библиотека компрессии, не представляющая опасности.