-
Trojan-Dropper.Win32.Smser.dg
Другие названия:
- Trojan-Dropper.Win32.Smser.dg [Лаборатория Касперского]
- Trojan.Winlock.252 [Dr.Web]
Троянская программа-вымогатель, инсталлирует в систему другое вредоносное ПО. Рассылается по ICQ ввиде сообщений "никого не узнаёшь на этой фотке?" и ссылкой на файл foto17.gif.
После запуска троянец извлекает в папку WINDOWS файл 43.jpg и запускает его, иммитируя обычное открытие рисунка.
Создает файлы:
- %Windir%\43.jpg
- %Windir%\exxplorer.exe
- %Windir%\svccost.exe
- %System%\154.bat
- %Windir%\xFoLOOOSErs.txt
Запускает в системе следующие процессы:
Создает следующие ключи в реестре:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Sa feBoot\Network_
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Sa feBoot\Network_\AFD
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro l\SafeBoot\Network_
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro l\SafeBoot\Network_\AFD
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\system
Изменяет следующие значения реестра:
- [HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\system] DisableTaskMgr = 0x00000001
- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] Shell =
Соединения:
порт: 80
-
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Сегодня пол контакт листа из аськи слали такое, слава богу не тыкал на ссылки, заподозрил не ладное. Шас вот кто Cureit'ом лечится, кто винду сносит...
-
Junior Member
- Вес репутации
- 63
Два раза в день точно меняется модификация этой заразы по ссылке, и естественно антивирусы не видят. Так что рано радоватся =) Единственное что спасает, это в вирлабе Веба сделали автоматическую обработку этой гадости, что ускоряет добавление в базы.
Да, и ещё. Вместе с этим грузится троян PWS...
-
Сообщение от
DenisK
Два раза в день точно меняется модификация этой заразы по ссылке, и естественно антивирусы не видят. Так что рано радоватся =) Единственное что спасает, это в вирлабе Веба сделали автоматическую обработку этой гадости, что ускоряет добавление в базы.
Да, и ещё. Вместе с этим грузится троян PWS...
Это да. Пробовал отсылать один образец на вирустотал, не один не обнаружил, только как "Подозрительный файл" было одним задетектено. Отослал этот образец на мейл, что рассылает 59 вендорам.