Classe principal: TrojWare
Os cavalos de Tróia são programas mal-intencionados que executam ações que não são autorizadas pelo usuário: eles excluem, bloqueiam, modificam ou copiam dados e interrompem o desempenho de computadores ou redes de computadores. Ao contrário dos vírus e worms, as ameaças que se enquadram nessa categoria não conseguem fazer cópias de si mesmas ou se auto-replicar. Os cavalos de Tróia são classificados de acordo com o tipo de ação que executam em um computador infectado.Classe: Trojan-Downloader
Programas classificados como Trojan-Downloader baixam e instalam novas versões de programas mal-intencionados, incluindo Trojans e AdWare, em computadores vitimados. Uma vez baixados da Internet, os programas são iniciados ou incluídos em uma lista de programas que serão executados automaticamente quando o sistema operacional for inicializado. As informações sobre os nomes e locais dos programas baixados estão no código do Trojan ou são baixadas pelo cavalo de Tróia a partir de um recurso da Internet (geralmente uma página da Web). Esse tipo de programa malicioso é freqüentemente usado na infecção inicial de visitantes de sites que contêm exploits.Plataforma: Win32
O Win32 é uma API em sistemas operacionais baseados no Windows NT (Windows XP, Windows 7, etc.) que oferece suporte à execução de aplicativos de 32 bits. Uma das plataformas de programação mais difundidas do mundo.Descrição
O Trojan garante que os arquivos ocultos não possam ser mostrados pelo Explorer.exe modificando os seguintes parâmetros-chave do Registro do sistema:
"Oculto" = "0"
"ShowSuperHidden" = "0"
O Trojan também garante que as extensões de arquivo não possam ser exibidas pelo Explorer.exe, definindo os seguintes parâmetros-chave do registro do sistema:
"HideFileExt" = "1"
Para impedir que esses parâmetros sejam revertidos, o Trojan desabilita "Opções de Pasta" no Explorer.exe, definindo o seguinte parâmetro-chave do Registro do sistema:
"NoFolderOptions" = "1"
O Trojan, em seguida, cria uma pasta oculta chamada "psador18.dll" no diretório de sistema do Windows:
O arquivo contém os seguintes endereços de e-mail:
O Trojan também extrai um rootkit chamado "psagor18.sys" do seu corpo. Este arquivo será colocado no diretório de trabalho do Trojan. Este rootkit inclui funções que ocultam a presença dos arquivos "psador18.dll" e "AHTOMSYS19.exe". Também oferece ao cavalo de Tróia os mais altos privilégios do sistema, impossibilitando a exclusão do arquivo Trojan ou a finalização de processos de Trojan.
Quando o sistema é desligado, esse arquivo será excluído, mas será recriado quando o sistema for reinicializado.
O Trojan rastreia a aparência das janelas com os seguintes títulos:
Сканер NOD32 требованию по - [Профиль центра управления - Локально] Сканер NOD32 по требованию - [Профиль контекстного меню] NOD32 - Предупреждение Пpeдупpeждeниe Редактор конфиг урации NOD32 - [Untitled] Антивирус Касперского pessoais 0- выполняется проверка ... Карантин Настройка обновления Настройка карантина и резервного хранилища AVP.MessageDialog AVP.MainWindow AVP.Product_Notification AVP.SettingsWindow AVP.ReportWindow Agnitum Outpost Firewall - configuration.cfg Faça login no Facebook Faça um comentário sobre o RegEdit_RegEdit
Se o Trojan detectar tais janelas, elas serão automaticamente fechadas.
O Trojan também procura dispositivos flash. Se detectar qualquer um desses dispositivos, o Trojan copiará seu corpo como "CDburn.exe" e criará um arquivo chamado "autorun.inf", que contém um link para o corpo do cavalo de Tróia. Isso garante que o arquivo Trojan seja iniciado automaticamente toda vez que o dispositivo for conectado.
O Trojan também coleta endereços de e-mail da máquina da vítima e envia uma mensagem de e-mail para eles. O email tem uma linha de assunto vazia e o seguinte conteúdo:
Saiba mais
Descubra as estatísticas das vulnerabilidades que se espalham em sua região statistics.securelist.com