Security Lab

Rootkit.Win32. Pakes.abxj

Rootkit.Win32. Pakes.abxj

Троянская программа, устанавливающая другие программы на компьютере пользователя без его ведома. Является приложением Windows (PE-EXE файл). Имеет размер 20009 байт.

Троянская программа, устанавливающая другие программы на компьютере пользователя без его ведома. Является приложением Windows (PE-EXE файл). Имеет размер 20009 байт. Упакована FSG. Распакованный размер – около 90 КБ. Написана на C++.


name="doc3">

Деструктивная активность

После запуска троянец выполняет следующие действия:

  • для контроля уникальности своего процесса в системе создает уникальный идентификатор с именем:
    fgfdguiu
  • Останавливает работу следующих служб:
    lanmanserver
      Browser
      
  • Извлекает из своего тела файл, который сохраняется в каталоге хранения временных файлов текущего пользователя как
    %Temp%\<rnd>
    (5120 байт; детектируется Антивирусом Касперского как "Exploit.Win32.IMG-MF.fk") где <rnd> – случайное семизначное десятичное число.
  • Запускает на выполнение извлеченный файл с параметром:
    http://www.b***hic.cn/down/gr.exe
  • Для удаления своего оригинального файла после завершения его работы запускает системный командный интерпретатор "CMD.EXE" со следующими параметрами:
    /c del "<полный путь к оригинальному файлу троянца>"
После этого троянец завершает свою работу.

Мы расшифровали формулу идеальной защиты!

Спойлер: она начинается с подписки на наш канал

Введите правильный пароль — подпишитесь!