-
Trojan-Downloader.Win32.Zanoza.f
Распространяется через письма по e-mail, вроде:
Привет, посмотри мои фотки!
По ссылке идет загрузка файла realfoto.exe - мой образец Trojan-Downloader.Win32.Zanoza.f (2617 байт, написан на C++, упакован FSG).
Пользователь вручную сохраняет файл, запускает, открывается сайт одной из службы знакомств.
Но параллельно, незаметно для пользователя, устанавливается соединение с yvon-publicidad.com и даунлоудер устанавливает новые файлы: в папку с realfoto.exe добавляются chkdsk1.exe, chkdsk2.exe, chkdsk3.exe, которые устанавливаются в систему:
- устанавливается magent.exe [бывший chkdsk3.exe = Email-Worm.Win32.Bagle, 32678 байт, не упакован, написан на C++] в папку %System32%, прописывается в
Код:
HKEY_USERS\%Profile%\Software\Microsoft\Windows\CurrentVersion\Run1\
- устанавливается svchost.exe в папку %Windir% [бывший chkdsk2.exe - Trojan-Proxy.Win32.Daemonize, 44032 байта, не упакован, написан на C++], прописывается в
Код:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run0\
- в %System32% прописывается и mswapi.dll [бывший chkdsk1.exe - Trojan-Spy.Win32.Iespy, написан на C++, упакован FSG, 7216 байт], сохраняется как
Код:
BHO e3a729da-eabc-df50-1842-dfd682644311
magent.exe умеется общаться с сетью, умеет отправлять почту, что и делает, рассылая спам с зараженного компьютера.
svchost.exe создает возможность работать в сети от имени зараженного компьютера.
mswapi.dll является типичным шпионом, следя за действиями пользователя и транслируя по нужному адресу всю информацию.
Симптомы:
1. Возросший сетевой траффик
2. Возможны зависания компьютера, в редких случаях BSOD
Сами зловреды на сайте регулярно обновляются, но названия файлов, их поведение и местоположение неизменны
Последний раз редактировалось AndreyKa; 18.03.2008 в 11:20.
Причина: Удалил скрипт по просьбе администрации
-
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Junior Member
- Вес репутации
- 59
А вот мне пришлось с помощью AVZ, кроме вышеупомянутых, удалить из каталога %System32% еще два: mdmi386.exe и auhook.dll