-
Описания вирусов: Trojan.Win32.Agent.fc
Trojan.Win32.Agent.fc состоит из двух компонент:
jaaste.dll, является DLL файлом, 3072 байта размером, сжат UPX, распакованный размер 4096 байта. Экспортирует две функции - Hook и UnHook. Устанавливает перехватчики стандартным образом (типа 5 - WH_CBT), что позволяет следить за созданием/перемещением/разрушением окон, системными событиями и т.п. Реагирует на окна с классом "ieframe", регистрирует в динамике BHO {FB153DCE-822E-47ec-8D00-2706E7864B37}
KB290333.dll, размер 31232, сжата UPX, распакованный размер 81920 байт. Регистрирует класс в реестре с CLSID {FB153DCE-822E-47ec-8D00-2706E7864B37} (легко заметить - класс, но но BHO !! А как BHO его регистрирует jaaste.dll, в момент создания окна IE - а затем запись BHO убивается, что маскирует "зверя" от анализаторов типа HijackThis - эдакай Stels-BHO). Файл jaaste.dll хранится внутри файла KB290333.dll - в его хвосте. Антивирусы его детектируют как так-же как "Trojan.Win32.Agent.fc" Написан "зверь" на C с применением MFC/
В ходе регистрации класса его CLSID записывается в ключ Explorer\SharedTaskScheduler
-
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Ответить с цитированием
