trojan
  • Win32/Dalixi.A

  • 0
[additional_bar_info type=5 count=5]
Автор
КатегорияТроян
Дата обнаружения18.03.2010
Размер51631
Другие названия
Win32/Phanta.a (Касперский)
Trojan:Win32/Ghodow (Microsoft)
Trojan.Mebratix (Symantec)

Краткое описание

Win32/Dalixi.А это-троян, который пытается загружать другие вредоносные программы из Интернета. Она использует методы, общие для руткитов.

Как устанавливается

При запуске троян создает следующую папку:

  • %systemdrive%\­Program Files\­MSDN

Троян создает следующие файлы:

  • %systemdrive%\­Program Files\­MSDN\­atixx.sys
  • %systemdrive%\­Program Files\­MSDN\­atixi.sys
  • %systemdrive%\­Program Files\­MSDN\­000000000
  • %system%\­DRIVERS\­atixx.sys
  • %system%\­DRIVERS\­atixi.sys

Устанавливаются следующие системные драйверы (путь, имя):

  • %system%\­DRIVERS\­atixx.sys, atixx
  • %system%\­DRIVERS\­atixi.sys, atixi

Win32/Dalixi.В заменяет оригинальный MBR (Master Boot Record) жесткого диска с собственного программного кода, а также размещение дополнительного кода для загрузки и патч следующие файлы:

  • ntldr
  • ntkrnlpa.exe

Это приводит к тому, что троян запускается при каждой загрузке системы.

Библиотека 000000000 загружается и вводят в следующих процессов:

  • explorer.exe

Следующие записи реестра удаляются:

После завершения установки троян удаляет исходный исполняемый файл.

Кража информации

Собирается следующая информация:

  • MAC address
  • operating system version
  • Internet Explorer version
  • malware version
  • installed antivirus software

Троян пытается отправить собранную информацию на удаленный компьютер

Дополнительная информация

Троян получает данные и команды от удаленного компьютера через интернет.

Троян содержит URL адреса. Используется HTTP протокол.

Троян может загружать файл из Интернета.

Файл хранится в следующей папке:

  • %temp%\­QQSelf%variable%.exe

Файл затем выполняется. Строка с переменной используется вместо %variable% .

Троян отключает различные, связанные с безопасностью приложений.

Похожие записи

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *