Trojan.Win32. Vilsel.ato
Троянская программа, которая скачивает и устанавливает другие вредоносные программы на компьютер без ведома пользователя.
Троянская программа, которая скачивает и устанавливает другие вредоносные программы на компьютер без ведома пользователя. Является приложением Windows (PE-EXE файл). Имеет размер 1083904 байт. Упакован неизвестным упаковшиком, распакованный размер ~2600 к.б.
name="doc3">
Деструктивная активность
Отключает системный Firewall изменяя значение следующего ключа реестра:
[HKLM\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile] EnableFirewall=0
Пытается завершить процессы в именах которых присутствуют следующие строки:
AvSynMgr naPrdMgr vshwin32 McShield mcshield Mcdetect mcagent mcdash mcvsshld mcvsescn mctskshd MpfService mcvs opscan ccapp norton SAVScan ccApp ccEvtMgr ISSVC SBServ symlcsvc SPBBCSvc nod32krn navapsvc nava nisum nisserv navwnt AvpM avpm klswd kav kavsc avp. AVGUARD avguard AVGNT avgnt sched pavsrv51 AVENGINE PNMSRV PsImSvc SRVLOAD APVXDWIN PavFnSvr TPSrv Inicio pavcl ntrtscan OfcPfwSvc PccNTMon pccntupd PNTIOMON schupd scan fprot avwin ave32 isafe tmntsrv fsav32 avkwctl ashServ dvpapi
|
tsc webtrap TMOAgent TeaTimer sdhelper Spybot spybot MSASCui guard ewido avgas avgemc gcas sunas spys ActiveDetection blackd fsdfwd smc zlclient persfw efpeadm fsguiexe kpf4gui pccpfw
msscli Tmas swdoctor spyc ccsetmgr ctagent vsmon webscan dbgmgr avp32 bdss xcommsvr avgamsvr avfwsvc avgupsvc nvcpl zonealarm zlclient scan virus firewall protect secure optimize nod32 mpf agent drweb alert avscan kpf4 msblast cfp zapro zonea ave32 avp. _av
|
При запуске троян регистрируется на сайте злоумышленников, открывая следующую ссылку:
http://fc.web********.de/as_noscript.php?name=load3
Скачивает файл по следующей ссылке:
http://fc.web********.de/as_noscript.php?name=rn
Скачанный файл сохраняется во временную папку под следующим именем:
%Temp%\<rnd>.tmp
где <rnd> один из следующих вариантов:
prun
rasesnet
wavvsnet
winvsnet
xpre
и после успешной закачки запускается на выполнение, после чего троян подчищает историю ссылок в Internet Explorer и завершает свою работу.