Trojan.Tannick - это троян, мониторящий Web сайты, которые посещает пользователь.
При запуске Trojan.Tannick выполняет следующие действия:
1.Создает пустой файл xtempx.xxx в %system% директории
2. Копирует себя в %system%\X3YY директорию или в "Microsoft\X3YY" поддиректорию директории, прописанной в реестре:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\AppData имя файла <8 случайных символов>.exe.
3. Прописывается в следующих ключах реестра:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"x3yy" = <path to Trojan>
4. Пытается прочитать конфигурационную информацию из своего тела. Информация включает следующее:
Два URL, из которых троян пытается загрузить файлы
FTP сайт, на который троян пытается отослать украденную информацию
Имя пользователя и пароль, которые использует троян, чтобы войти на FTP сервер.
5. Пытается загрузить и выполнить файл из одного из URL из шага 4.
6. Заменяет загрузочную страницу Internet Explorer на "about:blank".
7. Пытается удалить следующие процессы:
# ZONEALARM.EXE # WFINDV32.EXE # WEBSCANX.EXE # VSSTAT.EXE # VSHWIN32.EXE # VSECOMR.EXE # VSCAN40.EXE # VETTRAY.EXE # VET95.EXE # TDS2-NT.EXE # TDS2-98.EXE # TCA.EXE # TBSCAN.EXE # SWEEP95.EXE # SPHINX.EXE # SMC.EXE # SERV95.EXE # SCRSCAN.EXE # SCANPM.EXE # SCAN95.EXE # SCAN32.EXE # SAFEWEB.EXE # RESCUE.EXE # RAV7WIN.EXE # RAV7.EXE # PERSFW.EXE # PCFWALLICON.EXE # PCCWIN98.EXE # PAVW.EXE # PAVSCHED.EXE # PAVCL.EXE # PADMIN.EXE # OUTPOST.EXE # NVC95.EXE # NUPGRADE.EXE # NORMIST.EXE # NMAIN.EXE # NISUM.EXE # NAVWNT.EXE # NAVW32.EXE # NAVNT.EXE # NAVLU32.EXE # NAVAPW32.EXE # N32SCANW.EXE # MPFTRAY.EXE # MOOLIVE.EXE # LUALL.EXE # LOOKOUT.EXE # LOCKDOWN2000.EXE # JEDI.EXE # IOMON98.EXE # IFACE.EXE # ICSUPPNT.EXE # ICSUPP95.EXE # ICMON.EXE # ICLOADNT.EXE # ICLOAD95.EXE # IBMAVSP.EXE # IBMASN.EXE # IAMSERV.EXE # IAMAPP.EXE # F-STOPW.EXE # FRW.EXE # FP-WIN.EXE # F-PROT95.EXE # F-PROT.EXE # FPROT.EXE # FINDVIRU.EXE # F-AGNT95.EXE # ESPWATCH.EXE # ESAFE.EXE # ECENGINE.EXE # DVP95_0.EXE # DVP95.EXE # CLEANER3.EXE # CLEANER.EXE # CLAW95CF.EXE # CLAW95.EXE # CFINET32.EXE # CFINET.EXE # CFIAUDIT.EXE # CFIADMIN.EXE # BLACKICE.EXE # BLACKD.EXE # AVWUPD32.EXE # AVWIN95.EXE # AVSCHED32.EXE # AVPUPD.EXE # AVPTC32.EXE # AVPM.EXE # AVPDOS32.EXE # AVPCC.EXE # AVP32.EXE # AVP.EXE # AVNT.EXE # AVKSERV.EXE # AVGCTRL.EXE # AVE32.EXE # AVCONSOL.EXE # AUTODOWN.EXE # APVXDWIN.EXE # ANTI-TROJAN.EXE # ACKWIN32.EXE # _AVPM.EXE # _AVPCC.EXE # _AVP32.EXE # NVSVC32.EXE # NPROTECT.EXE # SAVSCAN.EXE # ARMOR2NET.EXE
8. Открывает и загружает файл %system%\unic_32.dll. Этот файл выполняет следующие действия:
Открывает пустой файл %system%\op32mp.log
Мониторит Web сайты, которые посещает пользователь и регистрирует информацию в файл named _post.log, который создается в той же директории в которую троян копируется в шаге 2.
9. Регистрирует себя как сервис.