Троянская программа, позволяющая злоумышленнику использовать зараженную машину в качестве прокси-сервера.
Инсталляция
После запуска троянец создает в папке %Documents and Settings%\%All Users%\%Common Documents%\Settings файл arm32.dll. Файл имеет атрибут «скрытый».
Устанавливает загрузку своей библиотеки при старте процесса Winlogon (во время загрузки системы):
[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\arm32reg]
"Asynchronous"="dword: 0x00000001"
"DllName"="%Documents and Settings%\%All Users%\%Common Documents%\Settings\arm32.dll"
"Startup"="arm32reg"
"Impersonate"="dword: 0x00000001"
Троянец непрерывно проверяет наличие данного ключа реестра и восстанавливает его в случае ручного удаления.
Деструктивная активность
Троян загружает с сайта злоумышленника файл конфигурации, необходимый для своей работы и сохраняет его в следующую папку:
%Documents and Settings%\%All Users%\%Common Documents%\Settings\desktop.ini
После этого троянец запускает процесс iexplore.exe и внедряет в него свой код. Данный процесс открывает произвольный TCP-порт в системе. После чего номер открытого порта троянец отправляет злоумышленнику.
Таким образом злоумышленник получает возможность работать в сети от имени зараженного компьютера без ведома пользователя.
Живой, мертвый или в суперпозиции? Узнайте в нашем канале