• Win32/Cakl.NAG

  • 0
Автор
КатегорияТроян
Дата обнаружения17.03.2008
Размер113248
Другие названия
Backdoor.Win32.Turkojan.il (Касперский)
BackDoor-CZP.dr.trojan (McAfee)
Backdoor:Win32/Turkojan.AI (Microsoft)
Backdoor.Trojan (Symantec)

Краткое описание

Win32/Cakl.NAG устанавливает бэкдор, который может управляться дистанционно.

Как устанавливается

После запуска троян копирует себя в одно из следующих мест:

  • %windir%\­mstwain32.exe
  • %appdata%\­mstwain32.exe

Следующие файлы удаляются в той же папке:

  • ntdtcstp.dll (7168 B, Win32/Cakl.NAF)
  • cmsetac.dll (33792 B)

Для того, чтобы выполняться при старте системы троян устанавливает следующую запись реестра:

  • [HKEY_CURRENT_USER\­Microsoft\­Windows\­CurrentVersion\­Run]
    • "mstwain32" = "%malwarefilepath%"
  • "mstwain32" = "%malwarefilepath%"

Троян удаляет точки восстановления системы.

Троян прекращает свое выполнение, если он обнаруживает, что он работает в конкретной виртуальной среде.

Кража информации

Win32/Cakl.NAG-это троян, который крадет конфиденциальную информацию.

Троян собирает следующую информацию:

  • login user names for certain applications/services
  • login passwords for certain applications/services
  • data from the clipboard
  • information about the operating system and system settings

Троян способен запоминать нажатые клавиши.

Собранная информация хранится в следующих файлах:

  • KB8888239.log
  • KB8888113.log

Троян пытается отправить собранную информацию на удаленный компьютер

Дополнительная информация

Троян получает данные и команды от удаленного компьютера через интернет.

Троян содержит список (2) URL-адреса. Он пытается подключиться к удаленной машине в порт: 15963 (TCP).

Поддерживается выполнение следующих операций:

Троян может повлиять на поведение следующих приложений:

  • Microsoft MSN Messenger

Троян скрывает своего запущенного процесса.

Троян перехватывает следующие функции Windows API:

Похожие записи

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *