Trojan.Wlogo - троян, эксплуатирующий удаленное переполнение буфера в тэге IFRAME в Microsoft Internet Explorer. Троян загружает и выполняет удаленные файлы.
Когда пользователь просматривает злонамеренный html файл, Trojan.Wlogo выполняет следующие действия:
1. Cоздает следующий файл:
%System%\winlogo.dll2.Добавляет множественные вариации в ключ реестра:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPRIP3. Загружает Winlogo.dll с RUNDLL32.EXE
4.После того, как троян стал выполняться, он ждет 2 минуты, а затем пытается соединиться со следующими удаленными серверами по 80 TCP порту:
63.203.4.21 62.141.93.43
Если соединение было удачным, он пытается открыть бэкдор и ждет MS-DOS команд. Это позволяет атакующему выполнять произвольные MS-DOS команды на скомпрометированной системе.В случае неудачного соединения троян ждет 15 минут и пытается соединиться снова.