Trojan-Proxy.Win32.Lager.r

Trojan-Proxy.Win32.Lager.r («Лаборатория Касперского») также известен как: Proxy-Agent.c (McAfee), Trojan.Abwiz.B (Symantec), Trojan.Lopata (Doctor Web), TR/Proxy.Lager.R (H+BEDV), Trj/Ranky.HO (Panda), Win32/TrojanProxy.Lager.F (Eset)

Троянская программа, позволяющая злоумышленнику использовать зараженную машину в качестве прокси-сервера. Представляет собой Windows PE EXE-файл. Имеет размер 57853 байта.

После запуска троянец копирует себя в системный каталог Windows с именем win32.exe:

%System%\win32.exe

Затем регистрирует себя в ключе автозапуска системного реестра:

  
  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   "wupd" = "%System%\win32.exe"

При каждой следующей загрузке Windows автоматически запустит файл-троянец.

Также в системном каталоге Windows троянец создает файл с именем zlbw.dll:

  
  %System%\zlbw.dll

Троянец открывает на зараженной машине произвольный порт и устанавливает себя как прокси-сервер. Это позволяет злоумышленнику работать в сети от имени «зараженного» хоста, создавая иллюзию работы именно с этой машины.

Также троянец подключается к удаленному серверу 217.159.***.176 для передачи автору трояна информации о зараженном компьютере (IP-адрес зараженной машины и т.д.).

С данного сервера троянец может загружать и устанавливать свои обновления.