trojan
  • Win32/TrojanDownloader.Mebload.BA

  • 0
Автор
КатегорияТроян
Дата обнаружения09.09.2013
Размер102912
Другие названия
Win32:Sinowal-OG (Avast)
Trojan.Litagody (Symantec)

Краткое описание

Win32/TrojanDownloader.Mebload.БА-это троян, который пытается загружать другие вредоносные программы из Интернета. Троян, вероятно, часть других вредоносных программ.

Как устанавливается

При выполнении троян копирует себя в следующие места:

  • %systemdrive%\­ProgramData\­%variable1%\­%variable2%.dll
  • %systemdrive%\­ProgramData\­%variable1%\­%filename%.dll

Следующие записи реестра:

  • [HKEY_CURRENT_USER\­Software\­Classes\­CLSID\­{118BEDCA-A901-4203-B4F2-ADCB957D1886}\­InprocServer32]
    • "(Default)" = "%systemdrive%\­ProgramData\­%variable1%\­%filename%.dll"
  • [HKEY_CLASSES_ROOT\­CLSID\­{118BEDCA-A901-4203-B4F2-ADCB957D1886}\­InprocServer32]
    • "(Default)" = "%systemdrive%\­ProgramData\­%variable1%\­%filename%.dll"
  • [HKEY_CLASSES_ROOT\­Software\­Classes\­Directory\­Shellex\­CopyHookHandlers\­{118BEDCA-A901-4203-B4F2-ADCB957D1886}]
    • "%variable3%" = "{118BEDCA-A901-4203-B4F2-ADCB957D1886}"
  • "(Default)" = "%systemdrive%\­ProgramData\­%variable1%\­%filename%.dll"
  • "(Default)" = "%systemdrive%\­ProgramData\­%variable1%\­%filename%.dll"
  • "%variable3%" = "{118BEDCA-A901-4203-B4F2-ADCB957D1886}"

%Filename% является одной из следующих строк:

Строка с переменной используется вместо %variable1-3%

Троян создает и запускает новый поток с собственным программным кодом следующих процессах:

  • chrome.exe
  • explorer.exe
  • firefox.exe
  • iexplore.exe

Кража информации

Win32/TrojanDownloader.Mebload.БА-это троян, который крадет конфиденциальную информацию.

Троян собирает следующую информацию:

  • list of running processes
  • installed program components under  [HKEY_LOCAL_MACHINE\­SOFTWARE\­Microsoft\­Windows\­CurrentVersion\­Uninstall] Registry subkeys

Троян пытается отправить собранную информацию на удаленный компьютер

Дополнительная информация

Троян содержит URL-адреса. Он пытается скачать несколько файлов с указанных адресов, используя HTTP протокол.

Загруженные файлы - зашифрованные исполняемые файлы.

Они сохраняются в следующие папки:

  • %systemdrive%\­ProgramData\­%variable1%\­%filename1%.dll
  • %systemdrive%\­ProgramData\­%variable1%\­%filename2%.dat

После расшифровки троян запускает эти файлы.

%Filename1% является одной из следующих строк:

%Filename2% является одной из следующих строк:

Троян перехватывает следующие функции Windows API:

  • VirtualQuery (kernel32.dll)
  • NtCreateThread (ntdll.dll)
  • NtCreateThreadEx (ntdll.dll)
  • ZwQueryInformationProcess (ntdll.dll)

Похожие записи

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *