Никита Соловьев
19.09.2009, 20:48
Другие названия:
Trojan-Dropper.Win32.Smser.dg [Лаборатория Касперского]
Trojan.Winlock.252 [Dr.Web]
Троянская программа-вымогатель, инсталлирует в систему другое вредоносное ПО. Рассылается по ICQ ввиде сообщений "никого не узнаёшь на этой фотке?" и ссылкой на файл foto17.gif.
После запуска троянец извлекает в папку WINDOWS файл 43.jpg и запускает его, иммитируя обычное открытие рисунка.
Создает файлы:
%Windir%\43.jpg
%Windir%\exxplorer.exe
%Windir%\svccost.exe
%System%\154.bat
%Windir%\xFoLOOOSErs.txt
Запускает в системе следующие процессы:
svccost.exe
Создает следующие ключи в реестре:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Sa feBoot\Network_
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Sa feBoot\Network_\AFD
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro l\SafeBoot\Network_
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro l\SafeBoot\Network_\AFD
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\system
Изменяет следующие значения реестра:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\system] DisableTaskMgr = 0x00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] Shell =
Соединения:
87.242.98.91
порт: 80
Trojan-Dropper.Win32.Smser.dg [Лаборатория Касперского]
Trojan.Winlock.252 [Dr.Web]
Троянская программа-вымогатель, инсталлирует в систему другое вредоносное ПО. Рассылается по ICQ ввиде сообщений "никого не узнаёшь на этой фотке?" и ссылкой на файл foto17.gif.
После запуска троянец извлекает в папку WINDOWS файл 43.jpg и запускает его, иммитируя обычное открытие рисунка.
Создает файлы:
%Windir%\43.jpg
%Windir%\exxplorer.exe
%Windir%\svccost.exe
%System%\154.bat
%Windir%\xFoLOOOSErs.txt
Запускает в системе следующие процессы:
svccost.exe
Создает следующие ключи в реестре:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Sa feBoot\Network_
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Sa feBoot\Network_\AFD
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro l\SafeBoot\Network_
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro l\SafeBoot\Network_\AFD
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\system
Изменяет следующие значения реестра:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\system] DisableTaskMgr = 0x00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] Shell =
Соединения:
87.242.98.91
порт: 80