Trojan.Win32.Agent. aan

Троянская программа, предназначенная для инсталляции в систему других программ. Является приложением Windows (PE-EXE файл). Имеет размер 19456 байт. Упакована с помощью UPX. Распакованный размер — около 40 КБ.

Деструктивная активность

Данный троянец предназначен для установки в систему другой программы.

После запуска троянец выполняет следующие действия:

* создает следующий параметр в ключе системного реестра:

      [HKLM\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\Run]
       "load"="%System%\ssms.exe"

* изменяет значение параметра в ключе реестра:

      [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
       "Hidden"="2"

Далее троянец проверяет наличие следующего файла на всех разделах жесткого диска:

%Disk%:\RECYCLER\mshta.exe

Если файл не существует, выполняет следующие действия:

1. Копирует файл svids.dll из системной папки Windows под следующим именем:

      %Disk%:\RECYCLER\~

2. Копирует файл xactsvr.dll из системной папки Windows под следующим именем:

      %Disk%:\RECYCLER\mshta.exe

После этого троянец создает в корне разделов файл autorun.inf, который содержит следующие строки:

[AutoRun]
open=RECYCLER\mshta.exe

Таким образом, когда пользователь открывает в программе «Проводник» зараженные разделы запускается файл mshta.exe из открываемого раздела.