Trojan-Proxy.Win32. Agent.lu

Троянская программа. Является приложением Windows (PE-EXE файл). Имеет размер 20527 байт.

Инсталляция

При запуске троянец извлекает из своего тела следующий файл:

      * %System%\winwil32.dll — имеет размер 17920 байт.
  

Также создается ключ реестра:

  [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\winwil32]
  "Asynchronous" = dword:00000001
  "DllName" = "winwil32.dll"
  "Impersonate" = dword:00000000
  "Startup" = "EvtStartup"
  "Shutdown" = "EvtShutdown"
  

Таким образом, при каждом последующем старте Windows троянская библиотека будет загружаться системным процессом «Winlogon.exe».

Троянец создает ключ реестра, в котором хранит свои настройки:

  [HKLM\SOFTWARE\Microsoft\MSSMGR]
  

После завершения процесса инсталляции вредоносная программа удаляет свой исполняемый файл.

Деструктивная активность

Вирус запускает процесс «iexplore.exe» и внедряет в него свой код, открывающий на компьютере пользователя UDP-порт 1032. По данному порту троянцем принимаются команды от злоумышленника, который получает возможность выполнять следующие действия:

* получать список процессов;

* запускать/останавливать различные процессы;

* получать список Dialup-соединений;

* просматривать последовательнось нажимаемых пользователем клавиш.