Security Lab

Trojan.Win32. Agent.eiyv

Trojan.Win32. Agent.eiyv

Троянская программа, выполняющая деструктивные действия на компьютере пользователя. Является динамической библиотекой Windows (PE-DLL файл).

Троянская программа, выполняющая деструктивные действия на компьютере пользователя. Является динамической библиотекой Windows (PE-DLL файл). Имеет размер 56320 байт. Написана на C++.


name="doc3">

Деструктивная активность

Троянская библиотека экспортирует функцию с именем "Execute", при вызове которой выполняются следующие действия:

  • создается каталог:
    %Program Files%\KAV
  • Из тела троянца извлекаются файлы, сохраняемые в созданном каталоге как
    %Program Files%\KAV\CDriver.sys
    (11392 байта; детектируется Антивирусом Касперского как "Rootkit.Win32.Agent.bhvr")

    Руткит предназначен для сокрытия проявлений активности троянца в системе.

    %Program Files%\KAV\CDriver.Inf (4173 байта)
    При помощи данного файла инициализации осуществляется установка драйвера руткита.
  • Удаляется ветвь системного реестра и все вложенные ключи:
    [HKLM\System\CurrentControlSet\Services\McShield]
  • Запускается системная утилита "sc.exe" со следующими параметрами:
    sc stop ZhuDongFangYu
      sc delete ZhuDongFangYu
      sc stop 360rp
      sc delete 360rp
      sc stop RsRavMon
      sc delete RsRavMon
      sc stop McNASvc
      sc delete McNASvc
      sc stop MpfService
      sc delete MpfService
      sc stop McProxy
      sc delete McProxy
      sc stop McShield 
      sc delete McShield
      sc stop McODS 
      sc delete McODS 
      sc stop mcmscsvc 
      sc delete mcmscsvc 
      sc stop McSysmon 
      sc delete McSysmon 
      sc stop ekrn 
      sc delete ekrn 
      sc stop PolicyAgent
      
    Таким образом, производится остановка и удаление служб:
    ZhuDongFangYu
      360rp
      RsRavMon
      McNASvc
      MpfService
      McProxy
      McShield
      McODS
      mcmscsvc
      McSysmon
      ekrn
      
    а также остановка службы "PolicyAgent".
  • Если в адресное пространство какого-либо процесса, запущенного в системе, подгружены библиотеки:
    safemon.dll
      RavExt.dll
      
    то они будут выгружены.

Ваша цифровая безопасность — это пазл, и у нас есть недостающие детали

Подпишитесь, чтобы собрать полную картину