Security Lab

Trojan.Win32. Oficla.w

Trojan.Win32. Oficla.w

Вредоносная программа, предназначенная для несанкционированной пользователем загрузки и запуска на компьютере другого вредоносного программного обеспечения.

Вредоносная программа, предназначенная для несанкционированной пользователем загрузки и запуска на компьютере другого вредоносного программного обеспечения.

Инсталляция

При запуске, вредоносная программа извлекает из себя и создает в системной папке windows файл, являющийся динамически подключаемой библиотекой(.dll файл) и содержащий основной вредоносный функционал:

%system%\thxr.wgo
Для автоматического запуска при каждом следующем старте системы троянец добавляет ссылку на созданный файл в ключ автозапуска системного реестра:
[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "Shell"="Explorer.exe rundll32.exe thxr.wgo nwfdtx"

name="doc3">

Деструктивная активность

После установки программа обращается к командному серверу:

http://hulejsoops.ru /images/bb.php
С которого получает командную строку, содержащую следующие основные команды и параметры:
"runurl"
-скачивает по папку %temp% файл по указанному url и запускает его.
"taskid"
- указывает на номер задачи.
"delay"
- указывает период обращения к серверу.
"backurls"
- список дополнительных адресов командных серверов, с которыми впоследствии соединяется вредоносная программа. Адреса сохраняются в ключе реестра:
[HKL\SOFTWARE\Classes\idid]
"reporturls"
- после этой команды программа обращается к дополнительным командным серверам для получения других команд.

Таким образом, в результате действия данной программа на компьютер может попасть другое вредоносное программное обеспечение. На момент составления описания программа получала команду на скачивание и запуск файла

http://russ**nmomds.ru/dogma.exe
Также с помощью данных команд злоумышленник может постоянно перенастраивать вредоносную программу на новые командные сервера.

Ищем уязвимости в системе и новых подписчиков!

Первое — находим постоянно, второе — ждем вас

Эксплойтните кнопку подписки прямо сейчас