Trojan.Win32.SecondThought.aa

Trojan.Win32.SecondThought.aa («Лаборатория Касперского») также известен как: BackDoor-BDI (McAfee), Backdoor.Trojan (Symantec), BackDoor.Agobot (Doctor Web), Troj/SecondT-AA (Sophos), Trojan:Win32/SecondThought.R (RAV), TROJ_SCNDTHOT.AA (Trend Micro), BackDoor.Small.6.A (Grisoft), Trojan.SecondThought.AA (SOFTWIN), Adware/PortalScan (Panda), Win32/SecondThought.AA (Eset)

Троянская программа, написанная на Visual C++ 6.0. Размер файла — приблизительно 180КБ. Файл ничем не упакован.

Инсталляция

При запуске копирует себя в директорию Windows под именем bokja.exe или goidr.exe и прописывается на автозагрузку в раздел реестра:

  
  [HKLM\Software\Microsoft\Windows\
   CurrentVersion\Run]
   "bokja"="%WINDIR%\bokja.exe"
   "goidr"="%WINDIR%\goidr.exe"
  

Настройки хранит в ключах реестра:

  
  [HKEY_LOCAL_MACHINE\SOFTWARE\Bokja]
  [HKEY_LOCAL_MACHINE\SOFTWARE\GoIDR]

Вредоносные действия

Работает в качестве фонового процесса. Обращается к сайтам:

  
      * www.danetport.com
      * www.infport.com
      * www.srfgate.com
      * www.webnetinfo.net 

Также может скачивать вредоносные программы.