Security Lab

Trojan-Clicker.Win32. Agent.nid

Trojan-Clicker.Win32. Agent.nid

Троянская программа, открывающая в браузере различные веб-страницы без ведома пользователя.

Троянская программа, открывающая в браузере различные веб-страницы без ведома пользователя. Является приложением Windows (PE-EXE файл). Имеет размер 172544 байта. Написана на С++.

Инсталляция

Троянец создает свою копию во временном каталоге текущего пользователя под следующим именем:

%Temp%\Player.exe
Для автоматического запуска при каждом следующем старте системы троянец добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
  "Player"="%Temp%\player.exe"
  

name="doc3">

Деструктивная активность

Для контроля присутствия в системе создает уникальный идентификатор с именем:

Global\DRV10
Далее троянец каждые 30 минут обращается по следующему адресу:
http://78.***.21/update.php?v=0.1.4&id=1132-4536-1223-5554-6632
Если соединение прошло успешно, и была получена ссылка, то троянец, выполняет загрузку по этой ссылке и сохраняет полученный файл во временный каталог текущего пользователя под именем:
%Temp%\updater.exe
После чего происходит запуск скачанного файла, и троянец завершает свою работу.

SOC как супергерой: не спит, не ест, следит за безопасностью!

И мы тоже не спим, чтобы держать вас в курсе всех угроз

Подключитесь к экспертному сообществу!