• Win32/TrojanDownloader.Wauchos.A

  • 0
Автор
КатегорияТроян
Дата обнаружения12.05.2012
Размер58880
Другие названия
Trojan.Win32.Tipp.esf (Касперский)
Worm:Win32/Gamarue.F (Microsoft)

Краткое описание

Win32/TrojanDownloader.Wauchos.А это-троян, который пытается загружать другие вредоносные программы из Интернета.

Как устанавливается

После запуска троян копирует себя в одно из следующих мест:

  • %allusersprofile%\­svchost.exe
  • %allusersprofile%\­Local Settings\­Temp\­ms%variable%.%fileextension%
  • %userprofile%\­Local Settings\­Temp\­ms%variable%.%fileextension%

Вместо %variable% используется строка с разным содержанием

%Fileextension% является одной из следующих строк:

Троян может устанавливать следующие значения реестра:

  • [HKEY_LOCAL_MACHINE\­Software\­Microsoft\­Windows\­CurrentVersion\­Run]
    • "SunJavaUpdateSched" = "%allusersprofile%\­svchost.exe"
  • [HKEY_CURRENT_USER\­Software\­Microsoft\­Windows\­CurrentVersion\­Run]
    • "SunJavaUpdateSched" = "%allusersprofile%\­svchost.exe"
  • [HKEY_LOCAL_MACHINE\­Software\­Microsoft\­Windows\­CurrentVersion\­Policies\­Explorer\­Run]
    • "random_number" = "%allusersprofile%\­Local Settings\­Temp\­ms%variable%.%fileextension%"
  • [HKEY_CURRENT_USER\­Software\­Microsoft\­Windows NT\­CurrentVersion\­Windows]
    • "Load" = "%allusersprofile%\­Local Settings\­Temp\­ms%variable%.%fileextension%"
  • "SunJavaUpdateSched" = "%allusersprofile%\­svchost.exe"
  • "SunJavaUpdateSched" = "%allusersprofile%\­svchost.exe"
  • "random_number" = "%allusersprofile%\­Local Settings\­Temp\­ms%variable%.%fileextension%"
  • "Load" = "%allusersprofile%\­Local Settings\­Temp\­ms%variable%.%fileextension%"

Это приводит к тому, что троян запускается при каждой загрузке системы.

Троян может создать и запустить новый поток под следующими процессами:

  • %windir%\­system32\­wuauclt.exe
  • %windir%\­syswow64\­svchost.exe

Кража информации

Троян собирает следующую информацию:

  • information about the operating system and system settings
  • computer IP address

Троян пытается отправить собранную информацию на удаленный компьютер

Дополнительная информация

Троян получает данные и команды от удаленного компьютера через интернет.

Троян содержит список (6) URL. Используется HTTP протокол.

Поддерживается выполнение следующих операций:

  • download files from a remote computer and/or the Internet
  • run executable files
  • create Registry entries
  • remove itself from the infected computer

Похожие записи

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *