Trojan-Dropper.Win32. Agent.cvva

Троянская программа, устанавливающая другие программы на компьютере пользователя без его ведома. Является приложением Windows (PE-EXE файл). Имеет размер 24064 байта. Упакована UPX. Распакованный размер – около 48 КБ. Написана на C++.

name="doc3">

Деструктивная активность

После запуска троянец выполняет следующие действия:

• извлекает из своего тела файл, который сохраняется в системе как %System%\mslaejjs.dll (36865 байт; детектируется Антивирусом Касперского как "Trojan-GameThief.Win32.OnLineGames.bnpj") Данная библиотека предназначена для похищения паролей от пользовательских учетных записей игры "World of Warcraft".
• Запускает системную утилиту "Rundll32.exe" со следующими параметрами:

  %System%\mslaejjs.dll,w

  Таким образом, из извлеченной библиотеки вызывается функция с именем "w". При этом троянская библиотека будет инсталлирована в систему и подгружена в адресное пространство процесса "wow.exe". Также будет создан следующий ключ автозапуска системного реестра:

  [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
  "rdllvz" = "RUNDLL32.EXE <полный путь к оригинальному 
  файлу троянца>,w" 
  

• Находит в системе окно с именем класса "GxWindowClassD3d" и закрывает его, посылая сообщение WM_CLOSE.
• Создает в своем рабочем каталоге сценарий командного интерпретатора, запускает его и завершает свою работу — данный сценарий удаляет оригинальный файл троянца и самоуничтожается. После этого троянец завершает свою работу.