Security Lab

TrojanSpy.Win32.Montp.l

TrojanSpy.Win32.Montp.l

Троянская программа-шпион. Является приложением Windows (PE EXE-файл), упакована UPX. Размер упакованного файла - около 20KB

Троянская программа-шпион. Является приложением Windows (PE EXE-файл), упакована UPX. Размер упакованного файла - около 20KB.

При инсталляции "троянец" создает в системной папке Windows директорию "mset". В этой директории "троянец" создает свою копию с именем "svchost.exe".

Также создаются файлы "_mails.txt" и "_pass.log", в которых собирается вся информация о зараженном компьютере. Полученную информацию троянец выкладывает на FTP-сервер злоумышленника.

Троянская программа регистрирует себя в ключе автозагрузки системного реестра:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
   "mset"="%Windir%\%System%\mset\svchost.exe"

Также в системной папке Windows "троянец" создает следующие файлы:

C:\WINDOWS\SYSTEM32\kwuie_x.dll
  C:\WINDOWS\SYSTEM32\xtempx.xxx

После запуска троянец выдает следующее окно:

TrojanSpy.Win32.Montp.l пытается остановить работу следующих процессов:

_AVP32.EXE
  _AVPCC.EXE
  _AVPM.EXE
  ACKWIN32.EXE
  ANTI-TROJAN.EXE
  APVXDWIN.EXE
  ARMOR2NET.EXE
  AUTODOWN.EXE
  AVCONSOL.EXE
  AVE32.EXE
  AVGCTRL.EXE
  AVKSERV.EXE
  AVNT.EXE
  AVP.EXE
  AVP32.EXE
  AVPCC.EXE
  AVPDOS32.EXE
  AVPM.EXE
  AVPTC32.EXE
  AVPUPD.EXE
  AVSCHED32.EXE
  AVWIN95.EXE
  AVWUPD32.EXE
  BLACKD.EXE
  BLACKICE.EXE
  CFIADMIN.EXE
  CFIAUDIT.EXE
  CFINET.EXE
  CFINET32.EXE
  CLAW95.EXE
  CLAW95CF.EXE
  CLEANER.EXE
  CLEANER3.EXE
  DVP95.EXE
  DVP95_0.EXE
  ECENGINE.EXE
  ESAFE.EXE
ESPWATCH.EXE
  F-AGNT95.EXE
  FINDVIRU.EXE
  FPROT.EXE
  F-PROT.EXE
  F-PROT95.EXE
  FP-WIN.EXE
  FRW.EXE
  F-STOPW.EXE
  IAMAPP.EXE
  IAMSERV.EXE
  IBMASN.EXE
  IBMAVSP.EXE
  ICLOAD95.EXE
  ICLOADNT.EXE
  ICMON.EXE
  ICSUPP95.EXE
  ICSUPPNT.EXE
  IFACE.EXE
  IOMON98.EXE
  JEDI.EXE
  LOCKDOWN2000.EXE
  LOOKOUT.EXE
  LUALL.EXE
  MOOLIVE.EXE
  MPFTRAY.EXE
  N32SCANW.EXE
  NAVAPW32.EXE
  NAVLU32.EXE
  NAVNT.EXE
  NAVW32.EXE
  NAVWNT.EXE
  NISUM.EXE
  NMAIN.EXE
  NORMIST.EXE
  NPROTECT.EXE
  NUPGRADE.EXE
NVC95.EXE
  NVSVC32.EXE
  OUTPOST.EXE
  PADMIN.EXE
  PAVCL.EXE
  PAVSCHED.EXE
  PAVW.EXE
  PCFWALLICON.EXE
  PCWIN98.EXE
  PERSFW.EXE
  RAV7.EXE
  RAV7WIN.EXE
  RESCUE.EXE
  SAFEWEB.EXE
  SAVSCAN.EXE
  SCAN32.EXE
  SCAN95.EXE
  SCANPM.EXE
  SCRSCAN.EXE
  SERV95.EXE
  SMC.EXE
  SPHINX.EXE
  SWEEP95.EXE
  TBSCAN.EXE
  TCA.EXE
  TDS2-98.EXE
  TDS2-NT.EXE
  VET95.EXE
  VETTRAY.EXE
  VSCAN40.EXE
  VSECOMR.EXE
  VSHWIN32.EXE
  VSSTAT.EXE
  WEBSCANX.EXE
  WFINDV32.EXE
  ZONEALARM.EXE

Ищем баги вместе! Но не те, что в продакшене...

Разбираем кейсы, делимся опытом, учимся на чужих ошибках

Зафиксируйте уязвимость своих знаний — подпишитесь!