• MSIL/Agent.OUK

  • 0
Автор
КатегорияТроян
Дата обнаружения20.02.2014
Размер519680
Другие названия
MSIL2.ALYO.trojan (AVG)

Краткое описание

Троян служит backdoor. Он может управляться дистанционно. Файл run-time с помощью сжатого .Сетка реактор .

Как устанавливается

Троян обычно часть других вредоносных программ.

Троян не создает своих копий.

Троян обычно находится в следующей папке:

  • %programfiles%\­browser

Троян выполняет следующие процессы:

  • %programfiles%\­browser\­System Scheduler.exe
  • %programfiles%\­browser\­System Idle.exe
  • %programfiles%\­browser\­msiexes.exe

%Programfiles%\browser в папке System (S) и скрытый (H) набор атрибутов в попытке скрыть папку в Windows Explorer.

Троян может устанавливать следующие значения реестра:

  • [HKEY_LOCAL_MACHINE\­SOFTWARE\­Microsoft\­Windows\­CurrentVersion\­Run]
    • "IPSec" = "%programfiles%\­browser\­System Scheduler.exe"
    • "SmartCard" = "%programfiles%\­browser\­System Idle.exe"
  • "IPSec" = "%programfiles%\­browser\­System Scheduler.exe"
  • "SmartCard" = "%programfiles%\­browser\­System Idle.exe"

Это приводит к тому, что троян запускается при каждой загрузке системы.

Кража информации

MSIL/агента.OUK-это троян, который крадет конфиденциальную информацию.

Троян собирает следующую информацию:

  • information about the operating system and system settings

Троян пытается отправить собранную информацию на удаленный компьютер

Дополнительная информация

Троян получает данные и команды от удаленного компьютера через интернет.

Троян содержит список (34) URL. Используется HTTP протокол в коммуникации.

Общение в сети с удаленного компьютера/сервера шифруется.

Поддерживается выполнение следующих операций:

Троян может устанавливать следующие значения реестра:

  • [HKEY_LOCAL_MACHINE\­SOFTWARE\­Microsoft\­Windows\­CurrentVersion\­Policies\­System]
    • "EnableLUA" = 0
  • [HKEY_CURRENT_USER\­Software\­Microsoft\­Windows\­CurrentVersion\­Internet Settings]
    • "EnableHttp1_1" = 1
    • "ProxyEnable" = "0"
    • "ProxyHttp1.1" = "0"
    • "ProxyServer" = ""
  • "EnableLUA" = 0
  • "EnableHttp1_1" = 1
  • "ProxyEnable" = "0"
  • "ProxyHttp1.1" = "0"
  • "ProxyServer" = ""

Троян может выполнить следующие команды:

  • ipconfig /flushdns
  • TASKKILL /F /IM %variable1%
  • REGEDIT /S %variable2%

Троян может внести изменения в ледующий файл:

  • %system%\­drivers\­etc\­hosts

Троян может повлиять на поведение следующих приложений:

  • Google Chrome
  • Microsoft Internet Explorer
  • Mozilla Firefox
  • Opera
  • Safari

Троян завершает процессы с любой из следующих строк в Название:

  • dw20

Троян может создавать следующие файлы:

  • %malwarepath%\­s.x
  • %malwarepath%\­checker.db.tmp
  • %malwarepath%\­client.db.tmp
  • %malwarepath%\­dbs-ex\­%variable3%.db

Строка с переменной используется вместо %variable1-3%

Trojan требует Microsoft .NET Framework, XDMessaging .Net библиотека для запуска.

Похожие записи

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *