Security Lab

Trojan.Win32. Vilsel.ato

Trojan.Win32. Vilsel.ato

Троянская программа, которая скачивает и устанавливает другие вредоносные программы на компьютер без ведома пользователя.

Троянская программа, которая скачивает и устанавливает другие вредоносные программы на компьютер без ведома пользователя. Является приложением Windows (PE-EXE файл). Имеет размер 1083904 байт. Упакован неизвестным упаковшиком, распакованный размер ~2600 к.б.


name="doc3">

Деструктивная активность

Отключает системный Firewall изменяя значение следующего ключа реестра:

[HKLM\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile] EnableFirewall=0
Пытается завершить процессы в именах которых присутствуют следующие строки:
AvSynMgr
naPrdMgr
vshwin32
McShield
mcshield
Mcdetect
mcagent
mcdash
mcvsshld
mcvsescn
mctskshd
MpfService
mcvs
opscan
ccapp
norton
SAVScan
ccApp
ccEvtMgr
ISSVC
SBServ
symlcsvc
SPBBCSvc
nod32krn
navapsvc
nava
nisum
nisserv
navwnt
AvpM
avpm
klswd
kav
kavsc avp.
AVGUARD
avguard
AVGNT
avgnt
sched
pavsrv51
AVENGINE
PNMSRV
PsImSvc
SRVLOAD
APVXDWIN
PavFnSvr
TPSrv
Inicio
pavcl
ntrtscan
OfcPfwSvc
PccNTMon
pccntupd
PNTIOMON
schupd
scan
fprot
avwin
ave32
isafe
tmntsrv
fsav32
avkwctl
ashServ
dvpapi
tsc
webtrap
TMOAgent
TeaTimer
sdhelper
Spybot
spybot
MSASCui
guard
ewido
avgas
avgemc
gcas
sunas
spys
ActiveDetection
blackd
fsdfwd
smc
zlclient
persfw
efpeadm
fsguiexe
kpf4gui
pccpfw

msscli
Tmas
swdoctor
spyc
ccsetmgr
ctagent
vsmon
webscan
dbgmgr
avp32
bdss
xcommsvr
avgamsvr
avfwsvc
avgupsvc
nvcpl
zonealarm
zlclient
scan
virus
firewall
protect
secure
optimize
nod32
mpf
agent
drweb
alert
avscan
kpf4
msblast
cfp
zapro
zonea
ave32
avp.
_av
При запуске троян регистрируется на сайте злоумышленников, открывая следующую ссылку:
http://fc.web********.de/as_noscript.php?name=load3
Скачивает файл по следующей ссылке:
http://fc.web********.de/as_noscript.php?name=rn
Скачанный файл сохраняется во временную папку под следующим именем:
%Temp%\<rnd>.tmp
где <rnd> один из следующих вариантов:
prun
rasesnet
wavvsnet
winvsnet
xpre
и после успешной закачки запускается на выполнение, после чего троян подчищает историю ссылок в Internet Explorer и завершает свою работу.

Мы расшифровали формулу идеальной защиты!

Спойлер: она начинается с подписки на наш канал

Введите правильный пароль — подпишитесь!