trojan
  • Win32/Wigon.OV

  • 0
Автор
КатегорияТроян
Дата обнаружения19.09.2011
Размер80896
Другие названия
Trojan-Dropper.Win32.Daws.cbdd (Касперский)
TrojanDownloader:Win32/Cutwail.BF (Microsoft)
Win32:Zbot-TCT (Avast)

Краткое описание

Данный троян работает как backdoor. Им можно управлять дистанционно

Как устанавливается

При выполнении троян копирует себя в следующие места:

  • %systemroot%\­system32\­%variable%.exe
  • %userprofile%\­%variable%.exe

Вместо %variable% используется строка с разным содержанием

Для того, что бы стартовать с каждым запуском системы, троян прописывается в следующих разделах реестра:

  • [HKEY_LOCAL_MACHINE\­Software\­Microsoft\­Windows\­CurrentVersion\­Run]
    • "%variable%" = "%systemroot%\­system32\­%variable%.exe"
  • [HKEY_CURRENT_USER\­Software\­Microsoft\­Windows\­CurrentVersion\­Run]
    • "%variable%" = "%userprofile%\­%variable%.exe"
  • "%variable%" = "%systemroot%\­system32\­%variable%.exe"
  • "%variable%" = "%userprofile%\­%variable%.exe"

Троян может устанавливать следующие значения реестра:

  • [HKEY_LOCAL_MACHINE\­Software\­WinNTData]
    • "prx" = "%downloadedconfiguration%"
  • [HKEY_CURRENT_USER\­Software\­WinNTData]
    • "prx" = "%downloadedconfiguration%"
  • "prx" = "%downloadedconfiguration%"
  • "prx" = "%downloadedconfiguration%"

Кража информации

Win32/Wigon.OV-это троян, который крадет конфиденциальную информацию.

Собирается следующая информация:

  • operating system version

Троян пытается отправить собранную информацию на удаленный компьютер

Дополнительная информация

Троян получает данные и команды от удаленного компьютера через интернет.

Троян содержит список (2) IP-адресов. Общение в сети с удаленного компьютера/сервера шифруется.

Поддерживается выполнение следующих операций:

  • download files from a remote computer and/or the Internet
  • run executable files

Троян может создать и запустить новый поток под следующими процессами:

  • svchost.exe
  • %malwarefilepath%

Похожие записи

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *