Троянская программа, загружающая из интернета файлы без ведома пользователя.
Троянская программа, загружающая из интернета файлы без ведома пользователя. Является приложением Windows (PE EXE-файл). Написана на ассемблере. Размер зараженного файла — 12 800 байт.
При запуске троянец копирует себя в корневой каталог Windows с именем sysvx_.exe:
%WinDir%\sysvx_.exe
Затем регистрирует этот файл в ключе автозапуска системного реестра:
При каждой следующей загрузке Windows автоматически запустит файл-троянец.
Также троянец создает в системном каталоге Windows следующие файлы:
name="doc3">Деструктивная активность |
После запуска программа вызывает функцию «hide__» из созданной ей библиотеки comdlg64.dll. В результате троянец перехватывает несколько функций операционной системы. Программа скрывает из списка процессов процессы, в имени exe-файла которых присутствуют строки «sysv», а также значения реестра, имена которых содержат строку «sysv». В результате значение реестра, отвечающее за автозагрузку программы не видно в редакторе реестра, а процессы, соответствующие вредоносной программе становятся не видны в диспетчере задач.
Созданный файл sysvx.exe запускается с параметром командной строки — случайным числом, большим 2000. Данное число является номером TCP-порта, прослушиваемого программой.
Во время выполнения троянец ждёт подключения к интернету. После подключения программа периодически выполняет следующие действия:
С URL http://**.255.117.157/synctl/loader.pl троянец получает адрес (URL), с которого загружается другая программа и запускается. Программа сохраняется во временном каталоге (%Temp%) с произвольным именем. Также троянец получает с URL http://**.255.117.157/synctl/upd/ddos.txt файл, в котором находится адрес (URL), к которому через каждые 7 секунд производится 15 запросов подряд.Таким образом при помощи данного троянца возможно производить DoS-атаки.
Если программа запущена без параметров, её выполнение завершается. Иначе программа слушает TCP-порт, номер которого указан в параметрах командной строки. После того, как соединение на этом порту установлено, программа получает по нему имя или IP-адрес компьютера, с которым требуется установить соединение, и начинает работать как proxy-сервер между этими двумя компьютерами. Поддерживаются протоколы IP, TCP, UDP.
Одно найти легче, чем другое. Спойлер: это не темная материя