Троянская программа-шпион. Является приложением Windows (PE EXE-файл), упакована UPX. Размер упакованного файла - около 20KB
Троянская программа-шпион. Является приложением Windows (PE EXE-файл), упакована UPX. Размер упакованного файла - около 20KB.
При инсталляции "троянец" создает в системной папке Windows директорию "mset". В этой директории "троянец" создает свою копию с именем "svchost.exe".
Также создаются файлы "_mails.txt" и "_pass.log", в которых собирается вся информация о зараженном компьютере. Полученную информацию троянец выкладывает на FTP-сервер злоумышленника.
Троянская программа регистрирует себя в ключе автозагрузки системного реестра:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] "mset"="%Windir%\%System%\mset\svchost.exe"
Также в системной папке Windows "троянец" создает следующие файлы:
C:\WINDOWS\SYSTEM32\kwuie_x.dll C:\WINDOWS\SYSTEM32\xtempx.xxx
После запуска троянец выдает следующее окно:
TrojanSpy.Win32.Montp.l пытается остановить работу следующих процессов:
_AVP32.EXE _AVPCC.EXE _AVPM.EXE ACKWIN32.EXE ANTI-TROJAN.EXE APVXDWIN.EXE ARMOR2NET.EXE AUTODOWN.EXE AVCONSOL.EXE AVE32.EXE AVGCTRL.EXE AVKSERV.EXE AVNT.EXE AVP.EXE AVP32.EXE AVPCC.EXE AVPDOS32.EXE AVPM.EXE AVPTC32.EXE AVPUPD.EXE AVSCHED32.EXE AVWIN95.EXE AVWUPD32.EXE BLACKD.EXE BLACKICE.EXE CFIADMIN.EXE CFIAUDIT.EXE CFINET.EXE CFINET32.EXE CLAW95.EXE CLAW95CF.EXE CLEANER.EXE CLEANER3.EXE DVP95.EXE DVP95_0.EXE ECENGINE.EXE ESAFE.EXE |
ESPWATCH.EXE F-AGNT95.EXE FINDVIRU.EXE FPROT.EXE F-PROT.EXE F-PROT95.EXE FP-WIN.EXE FRW.EXE F-STOPW.EXE IAMAPP.EXE IAMSERV.EXE IBMASN.EXE IBMAVSP.EXE ICLOAD95.EXE ICLOADNT.EXE ICMON.EXE ICSUPP95.EXE ICSUPPNT.EXE IFACE.EXE IOMON98.EXE JEDI.EXE LOCKDOWN2000.EXE LOOKOUT.EXE LUALL.EXE MOOLIVE.EXE MPFTRAY.EXE N32SCANW.EXE NAVAPW32.EXE NAVLU32.EXE NAVNT.EXE NAVW32.EXE NAVWNT.EXE NISUM.EXE NMAIN.EXE NORMIST.EXE NPROTECT.EXE NUPGRADE.EXE |
NVC95.EXE NVSVC32.EXE OUTPOST.EXE PADMIN.EXE PAVCL.EXE PAVSCHED.EXE PAVW.EXE PCFWALLICON.EXE PCWIN98.EXE PERSFW.EXE RAV7.EXE RAV7WIN.EXE RESCUE.EXE SAFEWEB.EXE SAVSCAN.EXE SCAN32.EXE SCAN95.EXE SCANPM.EXE SCRSCAN.EXE SERV95.EXE SMC.EXE SPHINX.EXE SWEEP95.EXE TBSCAN.EXE TCA.EXE TDS2-98.EXE TDS2-NT.EXE VET95.EXE VETTRAY.EXE VSCAN40.EXE VSECOMR.EXE VSHWIN32.EXE VSSTAT.EXE WEBSCANX.EXE WFINDV32.EXE ZONEALARM.EXE Ищем баги вместе! Но не те, что в продакшене...Разбираем кейсы, делимся опытом, учимся на чужих ошибках |