Geser
15.10.2004, 17:26
Trojan.Comxt - это троян, который загружает удаленные файлы. Он использует Alternate Data Streams, чтобы скрыть свое присутствие.
При запуске Trojan.Comxt выполняет следующие действия:
1. Копирует себя в одну из следующих директорий:
# %Windir%\Temp\Product.exe
# %System%\Temp\Product.exe
# \Temp\Product.exe
2. Копирует себя как Alternate Data Stream файл C:\:Comxt.exe.
3. Создает следующие записи в реестре:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\comxt
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\R oot\LEGACY_COMXT
4. Добавляет следующие значения:
"comxt" = "%Windir%\temp\comxt.exe"
в ключи реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run
5. Выполняет файл %Windir%\temp\yemeklik.exe.
6. Пытается использовать Microsoft Internet Explorer, чтобы соединиться с различными доменами.
7. Загружает файл %Windir%\temp\2.tmp. Он выполняется как Alternate Data Stream файл C:\:Mscrplgn.dll
http://www.securitylab.ru/48641.html
При запуске Trojan.Comxt выполняет следующие действия:
1. Копирует себя в одну из следующих директорий:
# %Windir%\Temp\Product.exe
# %System%\Temp\Product.exe
# \Temp\Product.exe
2. Копирует себя как Alternate Data Stream файл C:\:Comxt.exe.
3. Создает следующие записи в реестре:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\comxt
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\R oot\LEGACY_COMXT
4. Добавляет следующие значения:
"comxt" = "%Windir%\temp\comxt.exe"
в ключи реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run
5. Выполняет файл %Windir%\temp\yemeklik.exe.
6. Пытается использовать Microsoft Internet Explorer, чтобы соединиться с различными доменами.
7. Загружает файл %Windir%\temp\2.tmp. Он выполняется как Alternate Data Stream файл C:\:Mscrplgn.dll
http://www.securitylab.ru/48641.html