Trojan-Spy.Win32. Small.cgl

Программа-шпион, предназначенная для сбора информации о зараженной системе. Является приложением Windows (PE-EXE файл). Имеет размер 5120 байт. Написана на C++.

Деструктивная активность

После запуска троянец выполняет следующие действия:

• для контроля уникальности своего процесса в системе создает уникальный идентификатор с именем:

  mutex_senddata_.la

• Отсылает на сайт злоумышленника HTTP-запросы следующего вида:
  http://vip.el***z.com/admin/co**nt.php?id=
  <ID>&isSucc=1&lockcode=1&mac=<MAC>&PcType=<PCTYPE>&AvName
  =<AVNAME>&ProCount=<PROCOUNT>
  
  http://vip.el***z.com/admin/co**nt.php?id=<ID>&isLive=1
  где <ID> – случайная последовательность цифр и латинских букв; <MAC> – физический адрес активного сетевого адаптера; <PROCOUNT> – время в миллисекундах с момента старта системы.

  Подстрока "<PCTYPE>" принимает значение "WangbarPc" если в системе запущен один из следующих процессов:

  clsmn.exe
  Barclient.exe
  scon.exe
  BarClientView.exe
  mzdclient.exe
  NBClient.exe
  EWay.exe
  NxpAuxSvc.exe
  

  В противном случае, "<PCTYPE>" присваивается значение "HomePc".

  Подстрока "<AVNAME>" формируется из имен запущенных в системе процессов антивирусных программ, таких как

  360tray.exe
  360sd.exe
  Ravmond.exe
  avp.exe
  ekrn.exe
  kissvc.exe
  kvsrvxp.exe
  avguard.exe
  MPMon.exe
  Mcshield.exe
  VPTray.exe
  ashWebSv.exe
  

  Если перечисленные процессы в системе не найдены, "<AVNAME>" принимает значение "OtherOrNone".