trojan
  • Win32/Spatet.A

  • 1
Автор
КатегорияТроян, червь
Дата обнаружения12.11.2009
Размер300056
Другие названия
Trojan.Win32.Agent.dfsa (Касперский)
Trojan:Win32/Malagent (Microsoft)
Infostealer (Symantec)

Краткое описание

Win32/Spatet.В это троян, который крадет конфиденциальную информацию. Троян может отправлять информацию на удаленный компьютер. Троян содержит backdoor. Он может управляться дистанционно.

Как устанавливается

После запуска троян копирует себя в одно из следующих мест:

  • C:\­Windows\­System32\­Services\­svchost.exe (300056 B)
  • %appdata%\­Services\­svchost.exe (300056 B)

Для того, что бы стартовать с каждым запуском системы, троян прописывается в следующих разделах реестра:

  • [HKEY_LOCAL_MACHINE\­SOFTWARE\­Microsoft\­Windows\­CurrentVersion\­policies\­Explorer\­Run]
    • "Policies" = "%filepath%"
  • [HKEY_CURRENT_USER\­SOFTWARE\­Microsoft\­Windows\­CurrentVersion\­policies\­Explorer\­Run]
    • "Policies" = "%filepath%"
  • [HKEY_LOCAL_MACHINE\­SOFTWARE\­Microsoft\­Windows\­CurrentVersion\­Run]
    • "Bios" = "%filepath%"
  • [HKEY_CURRENT_USER\­SOFTWARE\­Microsoft\­Windows\­CurrentVersion\­Run]
    • "Bios" = "%filepath%"
  • "Policies" = "%filepath%"
  • "Policies" = "%filepath%"
  • "Bios" = "%filepath%"
  • "Bios" = "%filepath%"

%Filepath% является одной из следующих строк:

  • C:\­Windows\­System32\­Services\­svchost.exe
  • %appdata%\­Services\­svchost.exe

Троян создает и запускает новый поток с собственным программным кодом во всех запущенных процессах.

Кража информации

Троян собирает следующую информацию:

Троян собирает информацию, относящуюся к следующим приложениям:

  • Vitalwerks DUC
  • Windows Live
  • Internet Explorer
  • Mozilla Firefox
  • Google Chrome

Троян может послать информацию удаленной машине, используя HTTP протокол.

Дополнительная информация

Троян получает данные и команды от удаленного компьютера через интернет.

Троян содержит список из (2) URL. Используется HTTP .

Поддерживается выполнение следующих операций:

Троян может создавать следующие файлы:

%number1-2% является случайным числом.

Следующую запись реестра удаляется:

  • [HKEY_CURRENT_USER\­Software\­Microsoft\­Active Setup\­Installed Components\­{CG08B0E5JF-4FCB-11CF-AAA5-00401C6XX500}]

Троян может устанавливать следующие значения реестра:

  • [HKEY_LOCAL_MACHINE\­Software\­Microsoft\­Active Setup\­Installed Components\­{CG08B0E5JF-4FCB-11CF-AAA5-00401C6XX500}]
    • "StubPath" = "%filepath%"
  • [HKEY_CURRENT_USER\­SOFTWARE\­g0dl1ke's Slave]
    • "NewIdentification" = "g0dl1ke's Slave"
    • "FirstExecution" = "%random%"
  • [HKEY_LOCAL_MACHINE\­SYSTEM\­CurrentControlSet\­Services\­SharedAccess\­Parameters\­FirewallPolicy\­StandardProfile\­AuthorizedApplications\­List]
    • "%variable%" = "%variable%:*:Enabled:Windows Firewall Update"
  • "StubPath" = "%filepath%"
  • "NewIdentification" = "g0dl1ke's Slave"
  • "FirstExecution" = "%random%"
  • "%variable%" = "%variable%:*:Enabled:Windows Firewall Update"

Строка с переменным содержанием используется вместо %random%, %variable%

Похожие записи

1 Response

  1. Музаффр:

    не включается онлайн-тв

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *