Backdoor.Win32. Agent.amru

Троянская программа, устанавливающая другие программы на компьютере пользователя без его ведома. Является приложением Windows (PE-EXE файл). Имеет размер 40960 байт. Написана на C++.

Деструктивная активность

После запуска троянец получает идентификатор набора национальных параметров LCID, и проверяет первичный идентификатор национального языка. Если он соответствует одному из следующих значений:

Uzbek
Ukrainian
Azeri
Kyrgyz
Tatar
Belarusian
Kazakh
Bashkir
Divehi
Armenian
Yakut
Russian

В противном случае, троянец выполняет следующие действия:

• извлекает из своего тела файлы, которые сохраняются в системе под следующими именами:

  %System%\mscert.dll

  (36352 байта; детектируется Антивирусом Касперского как "Backdoor.Win32.Agent.amrt")

  %System%\rdolib.dll

  (30720 байт; детектируется Антивирусом Касперского как "Backdoor.Win32.Agent.amrr")
• Создает ключи системного реестра:
  [HKLM\System\CurrentControlSet\Control\Session
  Manager\AppCertDlls]
  "AppSecDll" = "%System%\mscert.dll"
  
  [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows]
  "AppInit_DLLs" = "%System%\rdolib.dll"
  "LoadAppInit_DLLs" = "1"

Таким образом, извлеченные троянцем библиотеки будут внедряться в адресные пространства всех процессов, запускаемых в системе.

После этого троянец завершает свою работу.

Оригинальный файл троянца будет удален во время очередной перезагрузки системы.