Trojan-Proxy.Win32. Agent.x

Троянская программа, которая запускает прокси-сервер на зараженном компьютере без ведома пользователя. Является приложением Windows (PE-EXE файл). Имеет размер около 17 КБ. Упакована с помощью PECompact, распакованный размер — около 30 КБ.

Инсталляция

При запуске троянец создает следующую папку:

  %Documents and Settings%\Application Data\Microsoft\sr64
  

Затем в эту папку копирует свой исполняемый файл (с расширением .exe) под произвольным именем, состоящим из прописных букв.

Троянская программа добавляет ссылку на данный файл в ключ автозапуска системного реестра:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"sr64" = "<путь и имя исполняемого файла трояна>"

Из тела вируса также извлекается файл:

      * %Documents and Settings%\Application Data\Microsoft\sr64\sr32.dll — 
       имеет размер 7168 байт.
  

Деструктивная активность

Троянец запускает HTTP прокси-сервер на TCP-порту с номером 3380 и SOCKS прокси-сервер на TCP-порту 3382.

На сайт злоумышленника сообщается следующая информация: версия установленной ОС, IP-адрес зараженного компьютера и номера открытых портов.

Созданная троянцем библиотека «sr32.dll» скрывает присутствие на винчестере вирусных файлов и ключей реестра, содержащих в своем имени подстроку «sr64».

Другие названия

Trojan-Proxy.Win32.Agent.x («Лаборатория Касперского») также известен как: TrojanProxy.Win32.Agent.x («Лаборатория Касперского»), Proxy-Agent.a (McAfee), Backdoor.Ranky (Symantec), Trojan.Proxy.18 (Doctor Web), Troj/Agent-X (Sophos), TrojanProxy:Win32/Agent.X (RAV), TROJ_AGENT.X (Trend Micro), TR/Agent.X (H+BEDV), Win32:Trojano-117 (ALWIL), Proxy.4.M (Grisoft), Trojan.Proxy.Agent.X (SOFTWIN), Trojan.Proxy.Agent.X (ClamAV), Trj/Agent.H (Panda), Win32/TrojanProxy.Agent.X (Eset)