Trojan-Proxy.Win32. Agent.q

Троянская программа, которая без ведома пользователя запускает прокси-сервер на зараженном компьютере. Является приложением Windows (PE-EXE файл). Имеет размер 28796 байт. Ничем не упакована.

Инсталляция

При запуске троянец копирует свой исполняемый файл под именем:

  
  %Program Files%\q~1\svchst32.exe
  

После этого оригинальный файл удаляется.

Вирус добавляет ссылку на собственный exe-файл в ключ автозапуска системного реестра:

  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
  "bab" = "c:\progra~1\q~1\svchst32.exe"

Также генерируется следующий файл:

  
  c:\!stealth.txt

Деструктивная активность

Троянец создает на компьютере пользователя SOCKS прокси-сервер на случайно выбранном TCP-порту, затем сообщает номер этого порта на сайт злоумышленника посредством URL-запроса.

Вредоносная программа пытается завершить следующие процессы:

  
      * ZONEALARM.EXE
      * WFINDV32.EXE
      * WEBSCANX.EXE
      * VSSTAT.EXE
      * VSHWIN32.EXE
      * VSECOMR.EXE
      * VSCAN40.EXE
      * VETTRAY.EXE
      * VET95.EXE
      * TDS2-NT.EXE
      * TDS2-98.EXE
      * TCA.EXE
      * TBSCAN.EXE
      * SWEEP95.EXE
      * SPHINX.EXE
      * SMC.EXE
      * SERV95.EXE
      * SCRSCAN.EXE
      * SCANPM.EXE
      * SCAN95.EXE
      * SCAN32.EXE
      * SAFEWEB.EXE
      * RESCUE.EXE
      * RAV7WIN.EXE
      * RAV7.EXE
      * PERSFW.EXE
      * PCFWALLICON.EXE
      * PCCWIN98.EXE
      * PAVW.EXE
      * PAVSCHED.EXE
      * PAVCL.EXE
      * PADMIN.EXE
      * OUTPOST.EXE
      * NVC95.EXE
      * NUPGRADE.EXE
      * NORMIST.EXE
      * NMAIN.EXE
      * NISUM.EXE
      * NAVWNT.EXE
      * NAVW32.EXE
      * NAVNT.EXE
      * NAVLU32.EXE
      * NAVAPW32.EXE
      * N32SCANW.EXE
      * MPFTRAY.EXE
      * MOOLIVE.EXE
      * LUALL.EXE
      * LOOKOUT.EXE
      * LOCKDOWN2000.EXE
      * JEDI.EXE
      * IOMON98.EXE
      * IFACE.EXE
      * ICSUPPNT.EXE
      * ICSUPP95.EXE
      * ICMON.EXE
      * ICLOADNT.EXE
      * ICLOAD95.EXE
      * IBMAVSP.EXE
      * IBMASN.EXE
      * IAMSERV.EXE
      * IAMAPP.EXE
      * F-STOPW.EXE
      * FRW.EXE
      * FP-WIN.EXE
      * F-PROT95.EXE
      * F-PROT.EXE
      * FPROT.EXE
      * FINDVIRU.EXE
      * F-AGNT95.EXE
      * ESPWATCH.EXE
      * ESAFE.EXE
      * ECENGINE.EXE
      * DVP95_0.EXE
      * DVP95.EXE
      * CLEANER3.EXE
      * CLEANER.EXE
      * CLAW95CF.EXE
      * CLAW95.EXE
      * CFINET32.EXE
      * CFINET.EXE
      * CFIAUDIT.EXE
      * CFIADMIN.EXE
      * BLACKICE.EXE
      * BLACKD.EXE
      * AVWUPD32.EXE
      * AVWIN95.EXE
      * AVSCHED32.EXE
      * AVPUPD.EXE
      * AVPTC32.EXE
      * AVPM.EXE
      * AVPDOS32.EXE
      * AVPCC.EXE
      * AVP32.EXE
      * AVP.EXE
      * AVNT.EXE
      * AVKSERV.EXE
      * AVGCTRL.EXE
      * AVE32.EXE
      * AVCONSOL.EXE
      * AUTODOWN.EXE
      * APVXDWIN.EXE
      * ANTI-TROJAN.EXE
      * ACKWIN32.EXE
      * _AVPM.EXE
      * _AVPCC.EXE
      * _AVP32.EXE
  

Обновления для себя троянец загружает с сайта злоумышленника, сохраняя их с именами вида:

  c:\progra~1\q~1\upd<номер скачанного файла>.exe
  

Скачанные файлы прописываются в ключ автозапуска системного реестра и запускаются на исполнение.

Другие названия

Trojan-Proxy.Win32.Agent.q («Лаборатория Касперского») также известен как: TrojanProxy.Win32.Agent.q («Лаборатория Касперского»), Proxy-Mitglieder.gen.c (McAfee), Backdoor.Trojan (Symantec), Trojan.Proxy.28798 (Doctor Web), TrojanProxy:Win32/Agent.Q (RAV), TROJ_AGENT.Q (Trend Micro), TR/Agent.Q (H+BEDV), Win32:Trojan-gen. (ALWIL), Proxy.2.BC (Grisoft), Trojan.Proxy.Agent.Q (SOFTWIN), Trj/Agent.E (Panda), Win32/TrojanProxy.Agent.Q (Eset)