Security Lab

Trojan-Spy.Win32. Insain.oz

Trojan-Spy.Win32. Insain.oz

Троянская программа, устанавливающая другие программы на компьютере пользователя без его ведома.

Троянская программа, устанавливающая другие программы на компьютере пользователя без его ведома. Является приложением Windows (PE-EXE файл). Имеет размер 41344 байта. Написана на C++.


name="doc3">

Деструктивная активность

После запуска троянец выполняет следующие действия:

  • извлекает из своего тела файлы, которые сохраняются в системе как 
    %System%\0041.DLL
    (25088 байт; детектируется Антивирусом Касперского как "Trojan-Spy.Win32.Insain.ry") 
    %System%\WORK.DAT
    (6896 байт) Файл "%System%\WORK.DAT" содержит вспомогательные данные для работы троянской библиотеки "%System%\0041.DLL".
  • Создает следующие ключи системного реестра: 
    [HKLM\Software\Policies\Microsoft\Internet Explorer\Main]
    "DEPOff" = "1"



    [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows]
    "CrntDLL" = "%System%\0041.DLL"
    "AppInit_DLLs" = "%System%\0041.DLL"
    "LoadAppInit_DLLs" = "1"
    • Таким образом, извлеченная троянцем библиотека "%System%\0041.DLL" будет автоматически внедряться в адресные пространства всех процессов, запускаемых в системе. Запускает браузер Internet Explorer (процесс "iexplore.exe") с параметром "-nohome". После этого троянец завершает свою работу.

    Хакеры ненавидят этот канал!

    Спойлер: мы раскрываем их любимые трюки

    Расстройте их планы — подпишитесь