Trojan.Win32. Oficla.m

Троянская программа, которая без ведома пользователя загружает из сети Интернет другие вредоносные программы и запускает их на выполнение. Программа является приложением Windows (PE EXE-файл). Имеет размер 20480 байт. Написана на С++.

name="doc3">

Деструктивная активность

После активации троянец извлекает из своего тела динамическую библиотеку DLL во временный каталог текущего пользователя Windows под случайно сгенерированным именем:

%Temp%\<rnd>.tmp

Где <rnd> - случайная цифра.

Данный файл имеет размер 19968 байт и детектируется Антивирусом Касперского, как Trojan.Win32.Oficla.m.

Для контроля уникальности своего процесса в системе троянец создает уникальный идентификатор с именем:

3079141585b787f8d1

Троянец запускает процесс "svchost.exe" и подгружает в его адресное пространство извлеченную библиотеку. При помощи данной библиотеки троянец производит загрузку файла со следующего URL:

http://fact***od.ru/microsoft/bb.php

На момент создания описания ссылка не работала.

Загруженный файл сохраняется во временный каталог текущего пользователя Windows под случайного сгенерированным именем после чего запускается на выполнение.

Также файл %Temp%\<rnd>.tmp сохраняется в системный каталог Windows под случайным именем:

%System%\<rnd>.<rnd>

Где <rnd> - случайная последовательность букв латинского алфавита, например "rihd.pno".

Для автоматического запуска при следующем старте системы троянец создает ссылку на созданный файл в ключе автозапуска системного реестра: