• Win32/Appetite.A

  • 0
Автор
КатегорияТроян
Дата обнаружения04.02.2014
Размер320328
Другие названия
Win32.Careto.b (Касперский)
Win32/Seedna.A (Microsoft)
Backdoor.Weevil (Symantec)

Краткое описание

Данный троян работает как backdoor. Им можно управлять дистанционно

Как устанавливается

При выполнении троян копирует себя в следующие папки:

  • %system%\­objframe.dll
  • %appdata%\­Microsoft\­objframe.dll

Троян может заменить существующий реестр записей, на которые ссылается следующие записи реестра, со ссылкой, файл с вредоносным:

  • [HKEY_LOCAL_MACHINE\­SOFTWARE\­Classes\­CLSID\­{ECD4FC4D-521C-11D0-B792-00A0C90312E1}]
    • "InProcServer32"  = "%malwarefilepath%"
  • [HKEY_CURRENT_USER\­SOFTWARE\­Classes\­CLSID\­{ECD4FC4D-521C-11D0-B792-00A0C90312E1}]
    • "InProcServer32" = "%malwarefilepath%"
  • "InProcServer32"  = "%malwarefilepath%"
  • "InProcServer32" = "%malwarefilepath%"

Он создает другие записи реестра:

  • [HKEY_LOCAL_MACHINE\­SOFTWARE\­Classes\­CLSID\­{E6BB64BE-0618-4353-9193-0AFE606D6F0C}]
    • "InprocServer32" = "%originalvalue%"
  • [HKEY_CURRENT_USER\­SOFTWARE\­Classes\­CLSID\­{E6BB64BE-0618-4353-9193-0AFE606D6F0C}]
    • "InprocServer32" = "%originalvalue%"
  • "InprocServer32" = "%originalvalue%"
  • "InprocServer32" = "%originalvalue%"

Вместо %originalvalue% , value(s) взяты из следующей записи реестра:

  • [HKEY_LOCAL_MACHINE\­SOFTWARE\­Classes\­CLSID\­{ECD4FC4D-521C-11D0-B792-00A0C90312E1}]
    • "InProcServer32"
  • [HKEY_CURRENT_USER\­SOFTWARE\­Classes\­CLSID\­{ECD4FC4D-521C-11D0-B792-00A0C90312E1}]
    • "InProcServer32"
  • "InProcServer32"
  • "InProcServer32"

Троян может создать и запустить новый поток под следующими процессами:

  • iexplore.exe
  • firefox.exe
  • chrome.exe

Кража информации

Win32/Аппетит.В это троян, который крадет конфиденциальную информацию.

Троян собирает следующую информацию:

Троян может отправлять информацию на удаленный компьютер.

Дополнительная информация

Троян получает данные и команды от удаленного компьютера через интернет.

Троян содержит список (2) URL-адреса. HTTP -, HTTPS-протокол используется.

Поддерживается выполнение следующих операций:

  • download files from a remote computer and/or the Internet
  • run executable files
  • send gathered information

Троян перехватывает следующие функции Windows API:

  • CreateProcessW (kernel32.dll)
  • GetSidSubAuthority (advapi32.dll)
  • CoInternetCreateZoneManager (urlmon.dll)

Троян может изменять содержимое следующих файлов в памяти:

Похожие записи

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *