Кибербезопасность-обсуждение

Tuflya07 · 13.04.2010, 20:03

Trojan-Proxy.Win32. Dlena.lh

13 апреля, 2010

Троянская программа, осушествляюшая деструктивную деятельность на компьютере. Является исполняемым файлом Windows. Имеет размер 35840 байт. Написана на C.
Инсталляция
Троянец копирует свое тело в системный каталог Windows под именем "rpcc.exe "
%system%\rpcc.exe.
И записывает себя в автозагрузку при помощи ключа реестра:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
CurrentVersion\Run\
"WindowsHive" -> "%windir%\system32\rpcc.exe"
A также создает запись в следующей ветке реестра для хранения своей информации:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\WinOpts

Деструктивная активность

Данная вредоносная программа, предназначенна для осуществления злоумышленником несанкционированного пользователем анонимного доступа к различным интернет-ресурсам через компьютер-жертву. Троянец создает следующие ключи реестра для создания proxy сервера:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Hardwa re
Profiles\Current\Software\Microsoft\windows\Curren tVersion\
Internet Settings ProxyEnable -> "1"
HKEY_CURRENT_CONFIG\Software\Microsoft\windows\
CurrentVersion\Internet Settings
ProxyEnable -> "1"
При запуске троянец создает два потока внутри процесса winlogon.exe или svchost.exe, которые и выполняют всю деструктивную деятельность.

Программа соединяется со следующими адресами:
69.41.182.75
72.36.224.114
69.41.170.246
И получает от них команды злоумышленника, который может производить с компьютером следующие действия:
Скачивать и запускать файлы на зараженном компьютере.
Производить поиск email-адресов на компьютере, а также проводить рассылки спама по этим адресам.
Для рассылки спама могут быть использованы также следующие сервера:
mindspring.com
yahoo.com
microsoft.com

13.04.2010, 20:03	#8
Tuflya07 Гуру Регистрация: 07.10.2007 Ресивер: Openbox X-800 Сообщений: 10,465 Сказал(а) спасибо: 2,818 Поблагодарили 5,638 раз(а) в 4,437 сообщениях Вес репутации: 49	Trojan-Proxy.Win32. Dlena.lh 13 апреля, 2010 Троянская программа, осушествляюшая деструктивную деятельность на компьютере. Является исполняемым файлом Windows. Имеет размер 35840 байт. Написана на C. Инсталляция Троянец копирует свое тело в системный каталог Windows под именем "rpcc.exe " %system%\rpcc.exe. И записывает себя в автозагрузку при помощи ключа реестра: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\ CurrentVersion\Run\ "WindowsHive" -> "%windir%\system32\rpcc.exe" A также создает запись в следующей ветке реестра для хранения своей информации: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ CurrentVersion\WinOpts Деструктивная активность Данная вредоносная программа, предназначенна для осуществления злоумышленником несанкционированного пользователем анонимного доступа к различным интернет-ресурсам через компьютер-жертву. Троянец создает следующие ключи реестра для создания proxy сервера: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Hardwa re Profiles\Current\Software\Microsoft\windows\Curren tVersion\ Internet Settings ProxyEnable -> "1" HKEY_CURRENT_CONFIG\Software\Microsoft\windows\ CurrentVersion\Internet Settings ProxyEnable -> "1" При запуске троянец создает два потока внутри процесса winlogon.exe или svchost.exe, которые и выполняют всю деструктивную деятельность. Программа соединяется со следующими адресами: 69.41.182.75 72.36.224.114 69.41.170.246 И получает от них команды злоумышленника, который может производить с компьютером следующие действия: Скачивать и запускать файлы на зараженном компьютере. Производить поиск email-адресов на компьютере, а также проводить рассылки спама по этим адресам. Для рассылки спама могут быть использованы также следующие сервера: mindspring.com yahoo.com microsoft.com __________________

Опции темы
Версия для печати Отправить по электронной почте
Опции просмотра
Линейный вид Комбинированный вид Древовидный вид

Имя		Запомнить?
Пароль