Trojan.Wlogo

Trojan.Wlogo - троян, эксплуатирующий удаленное переполнение буфера в тэге IFRAME в Microsoft Internet Explorer. Троян загружает и выполняет удаленные файлы.

Когда пользователь просматривает злонамеренный html файл, Trojan.Wlogo выполняет следующие действия:

1. Cоздает следующий файл:

  %System%\winlogo.dll 

2.Добавляет множественные вариации в ключ реестра:

  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPRIP 

3. Загружает Winlogo.dll с RUNDLL32.EXE

4.После того, как троян стал выполняться, он ждет 2 минуты, а затем пытается соединиться со следующими удаленными серверами по 80 TCP порту:

  63.203.4.21
  62.141.93.43 

Если соединение было удачным, он пытается открыть бэкдор и ждет MS-DOS команд. Это позволяет атакующему выполнять произвольные MS-DOS команды на скомпрометированной системе.В случае неудачного соединения троян ждет 15 минут и пытается соединиться снова.