PDA

Просмотр полной версии : Описания вирусов: Trojan.Win32.Agent.fc



Зайцев Олег
02.08.2005, 14:04
Trojan.Win32.Agent.fc состоит из двух компонент:

jaaste.dll, является DLL файлом, 3072 байта размером, сжат UPX, распакованный размер 4096 байта. Экспортирует две функции - Hook и UnHook. Устанавливает перехватчики стандартным образом (типа 5 - WH_CBT), что позволяет следить за созданием/перемещением/разрушением окон, системными событиями и т.п. Реагирует на окна с классом "ieframe", регистрирует в динамике BHO {FB153DCE-822E-47ec-8D00-2706E7864B37}

KB290333.dll, размер 31232, сжата UPX, распакованный размер 81920 байт. Регистрирует класс в реестре с CLSID {FB153DCE-822E-47ec-8D00-2706E7864B37} (легко заметить - класс, но но BHO !! А как BHO его регистрирует jaaste.dll, в момент создания окна IE - а затем запись BHO убивается, что маскирует "зверя" от анализаторов типа HijackThis - эдакай Stels-BHO). Файл jaaste.dll хранится внутри файла KB290333.dll - в его хвосте. Антивирусы его детектируют как так-же как "Trojan.Win32.Agent.fc" Написан "зверь" на C с применением MFC/
В ходе регистрации класса его CLSID записывается в ключ Explorer\SharedTaskScheduler