Security Lab

Trojan-Dropper.Win32. Small.fvm

Trojan-Dropper.Win32. Small.fvm

Троянская программа, позволяющая злоумышленнику использовать зараженную машину в качестве прокси-сервера без ведома пользователя.

Троянская программа, позволяющая злоумышленнику использовать зараженную машину в качестве прокси-сервера без ведома пользователя. Является приложением Windows (PE-EXE файл). Имеет размер 41671 байт. Написана на C++.

Инсталляция

После запуска троянец копирует свое тело в следующий файл:

C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308
-1811\vsbntlo.exe
Также создается файл:
C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308
-1811\Desktop.ini
Для автоматического запуска созданной копии при каждом следующем старте системы создается ключ системного реестра:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"12CFG214-K641-12SF-N85P" = "C:\RECYCLER\S-1-5-21-
0243936033-3052116371-381863308-1811\vsbntlo.exe"

name="doc3">

Деструктивная активность

После запуска троянец внедряет в адресное пространство процесса "EXPLORER.EXE" исполняемый код, реализующий следующий функционал:

  • устанавливается соединение с хостом:
    209.***.221
  • Запускается SOCKS прокси-сервер на TCP-порте 1199. После этого злоумышленник получает возможность использовать зараженную машину в качестве прокси-сервера.

Красная или синяя таблетка?

В Матрице безопасности выбор очевиден

Выберите реальность — подпишитесь