# Форум на русском языке  > Угрозы информационной безопасности  > Вредоносные программы  > Описания вредоносных программ  >  Trojan-Dropper.Win32.Smser.dg

## Никита Соловьев

*Другие названия:*
*Trojan-Dropper.Win32.Smser.dg* [Лаборатория Касперского]*Trojan.Winlock.252* [Dr.Web]Троянская программа-вымогатель, инсталлирует в систему другое вредоносное ПО. Рассылается по ICQ ввиде сообщений _"никого не узнаёшь на этой фотке?"_ и ссылкой на файл *foto17.gif.*

После запуска троянец извлекает в папку WINDOWS файл 43.jpg и запускает его, иммитируя обычное открытие рисунка.


*Создает файлы:*
%Windir%\43.jpg%Windir%\exxplorer.exe%Windir%\svccost.exe%System%\154.bat%Windir%\xFoLOOOSErs.txt*Запускает в системе следующие процессы:*
svccost.exe*Создает следующие ключи в реестре:*

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Sa  feBoot\Network_ 
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Sa  feBoot\Network_\AFD 
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro  l\SafeBoot\Network_ 
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro  l\SafeBoot\Network_\AFD 
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre  ntVersion\Policies\system 


*Изменяет следующие значения реестра:*
[HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre  ntVersion\Policies\system] DisableTaskMgr = 0x00000001[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] Shell =*Соединения:*

87.242.98.91порт: 80

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## Nexus

Сегодня пол контакт листа из аськи слали такое, слава богу не тыкал на ссылки, заподозрил не ладное.  :Smiley:  Шас вот кто Cureit'ом лечится, кто винду сносит...

----------


## DenisK

Два раза в день точно меняется модификация этой заразы по ссылке, и естественно антивирусы не видят. Так что рано радоватся =) Единственное что спасает, это в вирлабе Веба сделали автоматическую обработку этой гадости, что ускоряет добавление в базы.

Да, и ещё. Вместе с этим грузится троян PWS...

----------


## Nexus

> Два раза в день точно меняется модификация этой заразы по ссылке, и естественно антивирусы не видят. Так что рано радоватся =) Единственное что спасает, это в вирлабе Веба сделали автоматическую обработку этой гадости, что ускоряет добавление в базы.
> 
> Да, и ещё. Вместе с этим грузится троян PWS...


Это да. Пробовал отсылать один образец на вирустотал, не один не обнаружил, только как "Подозрительный файл" было одним задетектено. Отослал этот образец на мейл, что рассылает 59 вендорам.

----------

