Троянская программа, которая без ведома пользователя запускает прокси-сервер на зараженном компьютере.
Инсталляция
При запуске троянец копирует свой исполняемый файл под именем:
%Program Files%\q~1\svchst32.exe
После этого оригинальный файл удаляется.
Вирус добавляет ссылку на собственный exe-файл в ключ автозапуска системного реестра:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run] "bab" = "c:\progra~1\q~1\svchst32.exe"
Также генерируется следующий файл:
c:\!stealth.txt
Деструктивная активность
Троянец создает на компьютере пользователя SOCKS прокси-сервер на случайно выбранном TCP-порту, затем сообщает номер этого порта на сайт злоумышленника посредством URL-запроса.
Вредоносная программа пытается завершить следующие процессы:
* ZONEALARM.EXE * WFINDV32.EXE * WEBSCANX.EXE * VSSTAT.EXE * VSHWIN32.EXE * VSECOMR.EXE * VSCAN40.EXE * VETTRAY.EXE * VET95.EXE * TDS2-NT.EXE * TDS2-98.EXE * TCA.EXE * TBSCAN.EXE * SWEEP95.EXE * SPHINX.EXE * SMC.EXE * SERV95.EXE * SCRSCAN.EXE * SCANPM.EXE * SCAN95.EXE * SCAN32.EXE * SAFEWEB.EXE * RESCUE.EXE * RAV7WIN.EXE * RAV7.EXE * PERSFW.EXE * PCFWALLICON.EXE * PCCWIN98.EXE * PAVW.EXE * PAVSCHED.EXE * PAVCL.EXE * PADMIN.EXE * OUTPOST.EXE * NVC95.EXE * NUPGRADE.EXE * NORMIST.EXE * NMAIN.EXE * NISUM.EXE * NAVWNT.EXE * NAVW32.EXE * NAVNT.EXE * NAVLU32.EXE * NAVAPW32.EXE * N32SCANW.EXE * MPFTRAY.EXE * MOOLIVE.EXE * LUALL.EXE * LOOKOUT.EXE * LOCKDOWN2000.EXE * JEDI.EXE * IOMON98.EXE * IFACE.EXE * ICSUPPNT.EXE * ICSUPP95.EXE * ICMON.EXE * ICLOADNT.EXE * ICLOAD95.EXE * IBMAVSP.EXE * IBMASN.EXE * IAMSERV.EXE * IAMAPP.EXE * F-STOPW.EXE * FRW.EXE * FP-WIN.EXE * F-PROT95.EXE * F-PROT.EXE * FPROT.EXE * FINDVIRU.EXE * F-AGNT95.EXE * ESPWATCH.EXE * ESAFE.EXE * ECENGINE.EXE * DVP95_0.EXE * DVP95.EXE * CLEANER3.EXE * CLEANER.EXE * CLAW95CF.EXE * CLAW95.EXE * CFINET32.EXE * CFINET.EXE * CFIAUDIT.EXE * CFIADMIN.EXE * BLACKICE.EXE * BLACKD.EXE * AVWUPD32.EXE * AVWIN95.EXE * AVSCHED32.EXE * AVPUPD.EXE * AVPTC32.EXE * AVPM.EXE * AVPDOS32.EXE * AVPCC.EXE * AVP32.EXE * AVP.EXE * AVNT.EXE * AVKSERV.EXE * AVGCTRL.EXE * AVE32.EXE * AVCONSOL.EXE * AUTODOWN.EXE * APVXDWIN.EXE * ANTI-TROJAN.EXE * ACKWIN32.EXE * _AVPM.EXE * _AVPCC.EXE * _AVP32.EXE
Обновления для себя троянец загружает с сайта злоумышленника, сохраняя их с именами вида:
c:\progra~1\q~1\upd<номер скачанного файла>.exe
Скачанные файлы прописываются в ключ автозапуска системного реестра и запускаются на исполнение.
Другие названия
Trojan-Proxy.Win32.Agent.q («Лаборатория Касперского») также известен как: TrojanProxy.Win32.Agent.q («Лаборатория Касперского»), Proxy-Mitglieder.gen.c (McAfee), Backdoor.Trojan (Symantec), Trojan.Proxy.28798 (Doctor Web), TrojanProxy:Win32/Agent.Q (RAV), TROJ_AGENT.Q (Trend Micro), TR/Agent.Q (H+BEDV), Win32:Trojan-gen. (ALWIL), Proxy.2.BC (Grisoft), Trojan.Proxy.Agent.Q (SOFTWIN), Trj/Agent.E (Panda), Win32/TrojanProxy.Agent.Q (Eset)
Первое — находим постоянно, второе — ждем вас