Троянская программа, выполняющая деструктивные действия на компьютере пользователя. Является приложением Windows (PE-EXE файл).
Троянская программа, выполняющая деструктивные действия на компьютере пользователя. Является приложением Windows (PE-EXE файл). Имеет размер 48650 байт. Написана на Delphi.
После запуска троянец перемещает свое тело в файл:
%APPDATA%\download2\svcnost.exeДля автоматического запуска данного файла при каждом следующем старте системы создается ключ системного реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]Кроме того, созданный файл добавляется в список доверенных приложений брандмауэра Windows путем создания ключа системного реестра:
"download" = "%APPDATA%\download2\svcnost.exe"
[HKLM\System\CurrentControlSet\Services\SharedAccess\
Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"%APPDATA%\download2\svcnost.exe" = "%APPDATA%\download2
\svcnost.exe:*:Enabled:ldrsoft"
После запуска троянец устанавливает соединение с сервером злоумышленника:
ca-pdt.comи отправляет на данный сервер следующую информацию о системе:
[HKCU\Software\Classes\http\shell\open\command]Могут быть отправлены значения:
IE
Firefox
Chrome
Opera
Mozila
Safari
Other
WinNT3
WinNT4
Win95
Win98
WinME
Win2000
WinXP
Win2003
Win7
Vista
avp.В соответствии с найденными процессами могут быть отправлены значения:
kav.
nod32krn.
ekrn.e
mcshield.
bdagent
ofcdog
srvload.e
navapsvc.e
ccsvchst.e
spidernt.e
dwengine.e
winssui.e
avastui.e
avastsvc.ex
avgrsx.e
avgnt.e
sched.e
KISПосле этого троянец в бесконечном цикле осуществляет загрузку файлов с указанного сервера. Загруженные файлы сохраняются в каталоге:
Nod32
McAfee
BitDefender
TrendMicro
Panda
Norton
OneCare
Avast
AVG
Avira
%APPDATA%\download2После успешной загрузки файлы запускаются на выполнение. На момент создания описания сервер не работал. Также в ходе своей работы троянец создает ключ системного реестра:
[HKCU\Software\Microsoft]где <rnd> – случайная последовательность символов (например: "msdgynwcq1vrubzyvdx13iyvs3vgcke").
"idln2" = "<rnd>"
Спойлер: мы раскрываем их любимые трюки