Trojan-Downloader.Win32. Mufanom.hby
Троянская программа, которая без ведома пользователя скачивает на компьютер другое программное обеспечение.
Троянская программа, которая без ведома пользователя скачивает на компьютер другое программное обеспечение. Является динамической библиотекой Windows (PE DLL-файл). Имеет размер 166400 байт. Написана на C++.
Инсталляция
После запуска троянец копирует свое тело в каталог Windows со случайным именем "<rnd>.dll":
%WinDir%\<rnd>.dll
Где <rnd> - случайный набор латинских букв, например "wmdyte".
Для автоматического запуска при каждом следующем старте системы троянец добавляет ссылку на копию своего исполняемого файла в ключ автозапуска системного реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"<rnd2>" = "rundll32.exe "%Windir%\<rnd1>",Startup"
name="doc3">
Деструктивная активность
Троянец завершает процесс:
MRT.exe
Троянец регистрирует себя как Browser Helper Object. Для этого создает соответствующие ключи системного реестра:
[HKCR\CLSID\{<rnd2>}\InprocServer32] "(Default)" = "%WinDir%\<rnd>.dll" "ThreadingModel" = "Apartment" [HKLM\Software\Microsoft\Windows\CurrentVersion\
Explorer\Browser Helper Objects\{<rnd2>}]
Где <rnd2> – идентификатор со случайным именем, например, "1007565B-5822-482B-8BA7-282EC2E61464".
Регистрирует себя как расширение для Mozilla Firefox, добавив значение в ключ системного реестра:
[HKCU\Software\Mozilla\Firefox\Extensions\sample@example.net]
Таким образом при использовании браузеров Mozilla Firefox и Internet Explorer, троянец проверяет адреса посещаемые пользователем. Если адрес содержит в себе одну из следующих строк:
gateway.com webmail.aol.com aol slirsredirect r.looksmart.com askredir.com ads.ask.com aclk google zeal. wisenut. wikipedia. what2find. wesearchall websearch. web.ask.co.uk vivisimo. vachercher.lycos.fr usseek. url.searchuk.com ukindex.co.uk thefreedictionary. sqwire. search_str= slotch. sirsearch. shoprogers. sex.com find= sensis.com seeq. searchscout. searchmiracle. searchstri= searchfeed. searchengine. search.lycos search.aol scoutcrawl. revquest. reference. perfectnav. pverture. nytimes. netzero. netster. netscape. phrase= neon.org navisearch. mywebsearch. searchfor= myway. searchtext= mygeek. qry= mirago. mamma. lycos. looksmart. london-pages.co.uk kanoodle. jayde. instafinder. inquire.
|
infoseek. hotbot.com grip.com goguides. goclick. gigablast.com genieknows. galaxysearch. mt=findwhat. findsearch. excite. exactsearch. emetasearch. earthlink. qkw= dogpile. search= dmoz. ditto.com destinationadult. daum.net keywords= crawlbar. coolwebsearch. comcast. term= clearsearch. bbc. asiaco. aol. altavista.com altavista. searchterm= allyoursearch. alltheweb.com alexa. terms= about. qu= 7search. 66.220.17.157 keyword= 64.225.154.135 250000.co.uk .wanadoo. .teoma. .search123. .oingo. .msn. .live. .gohip. .epilot.com satitle= .ebay. /web? ask. query= /search .aol.com .ah-ha. search.yahoo. search .google. .bing.com/search?
|
тогда троянец может перенаправлять пользователя на потенциально опасные ресурсы или вставлять в страницу скрипт, перехватывающий поисковые запросы для отправки на сервер злоумышленника.