Security Lab

Trojan.Win32. Agent.afs

Trojan.Win32. Agent.afs

Троянская программа, которая предназначена для отключения различных защитных компонентов операционной системы Windows.

Троянская программа, которая предназначена для отключения различных защитных компонентов операционной системы Windows. Является приложением Windows (PE-EXE файл). Имеет размер 4608 байт. Упакована с помощью UPX, распакованный размер — около 17 КБ.

Деструктивная активность

После запуска троянец изменяет значения параметров некоторых ключей системного реестра на:

  [HKLM\Software\Microsoft\Security Center]
  FirewallOverride=1
  
  [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StardardProfile]
  DisableNotifications=1
  
  [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StardardProfile]
  DoNotAllowExceptions=0
  
  [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StardardProfile]
  EnableFirewall=0
  
  [HKLM\Software\Microsoft\Security Center]
  FirewallDisableNotify=1
  

После этого вирус завершает работу и удаляет свой исполняемый файл.

Ищем баги вместе! Но не те, что в продакшене...

Разбираем кейсы, делимся опытом, учимся на чужих ошибках

Зафиксируйте уязвимость своих знаний — подпишитесь!