Троянская программа, которая запускает прокси-сервер на зараженном компьютере без ведома пользователя.
Инсталляция
При запуске троянец создает следующую папку:
%Documents and Settings%\Application Data\Microsoft\sr64
Затем в эту папку копирует свой исполняемый файл (с расширением .exe) под произвольным именем, состоящим из прописных букв.
Троянская программа добавляет ссылку на данный файл в ключ автозапуска системного реестра:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"sr64" = "<путь и имя исполняемого файла трояна>"
Из тела вируса также извлекается файл:
* %Documents and Settings%\Application Data\Microsoft\sr64\sr32.dll —
имеет размер 7168 байт.
Деструктивная активность
Троянец запускает HTTP прокси-сервер на TCP-порту с номером 3380 и SOCKS прокси-сервер на TCP-порту 3382.
На сайт злоумышленника сообщается следующая информация: версия установленной ОС, IP-адрес зараженного компьютера и номера открытых портов.
Созданная троянцем библиотека «sr32.dll» скрывает присутствие на винчестере вирусных файлов и ключей реестра, содержащих в своем имени подстроку «sr64».
Другие названия
Trojan-Proxy.Win32.Agent.x («Лаборатория Касперского») также известен как: TrojanProxy.Win32.Agent.x («Лаборатория Касперского»), Proxy-Agent.a (McAfee), Backdoor.Ranky (Symantec), Trojan.Proxy.18 (Doctor Web), Troj/Agent-X (Sophos), TrojanProxy:Win32/Agent.X (RAV), TROJ_AGENT.X (Trend Micro), TR/Agent.X (H+BEDV), Win32:Trojano-117 (ALWIL), Proxy.4.M (Grisoft), Trojan.Proxy.Agent.X (SOFTWIN), Trojan.Proxy.Agent.X (ClamAV), Trj/Agent.H (Panda), Win32/TrojanProxy.Agent.X (Eset)
Спойлер: она начинается с подписки на наш канал