Hlavní třída: TrojWare
Trojské koně jsou škodlivé programy, které provádějí akce, které nejsou uživateli povoleny: odstraňují, blokují, upravují nebo kopírují data a narušují výkon počítačů nebo počítačových sítí. Na rozdíl od virů a červů, hrozby, které spadají do této kategorie, nejsou schopné vytvářet kopie nebo se samy replikovat.Trojice jsou klasifikována podle typu akce, kterou provádějí na infikovaném počítači.
Třída: Trojan-Downloader
Programy klasifikované jako Trojan-Downloader stahovat a instalovat nové verze škodlivých programů, včetně trojských koní a AdWare, na počítače s oběťmi. Po stažení z Internetu jsou programy spuštěny nebo zařazeny do seznamu programů, které se automaticky spustí, když se spustí operační systém.Informace o jménech a umístěních programů, které jsou staženy, jsou v kódu trojského koně, nebo jsou staženy z Trojského webu z internetového zdroje (obvykle webové stránky).
Tento typ škodlivého programu se často používá při počáteční infekci návštěvníků na webové stránky, které obsahují exploity.
Platfoma: Win32
Win32 je rozhraní API v operačních systémech Windows NT (Windows XP, Windows 7 atd.), Které podporují provádění 32bitových aplikací. Jedna z nejrozšířenějších programovacích platforem na světě.Popis
Trojan zajišťuje, že skryté soubory nelze zobrazit Explorer.exe úpravou následujících parametrů klíče registru systému:
"Skryté" = "0"
"ShowSuperHidden" = "0"
Trojan také zajišťuje, že rozšíření souborů Explorer.exe nemůže zobrazit nastavením následujících parametrů klíčů registru systému:
"HideFileExt" = "1"
Chcete-li zabránit tomu, aby se tyto parametry vrátily, vypíše Trojský program "Možnosti složky" v aplikaci Explorer.exe nastavením následujícího parametru klíče registru systému:
"NoFolderOptions" = "1"
Trojan pak vytvoří skrytou složku s názvem "psador18.dll" v adresáři systému Windows:
Soubor obsahuje následující e-mailové adresy:
Trojský jazyk také získává z těla rootkit nazvaný "psagor18.sys". Tento soubor bude umístěn v pracovním adresáři Trojana. Tento rootkit obsahuje funkce, které skryjí přítomnost souborů "psador18.dll" a "AHTOMSYS19.exe". Také dává trojan nejvyšší systémové oprávnění, což znemožňuje vymazání souboru trojského koně nebo ukončení procesů trojských koní.
Po vypnutí systému bude tento soubor smazán, ale bude znovu vytvořen, když bude systém restartován.
Trojan sleduje vzhled oken s následujícími tituly:
Сканер NOD32 по требованию - [Profil ústředny - Lokální]
Сканер NOD32 по требованию - [Profil kontextové menu]
NOD32 - Upozornění
Ппедуппеждeниe
Редактор конфиг
uráции NOD32 - [Bez názvu]
Антивирус Касперского Osobní
0- používají kontrolu ...
Карантин
Настройка обновления
Настройка карантина и резервни хранилища
Vybrat soubor pro odpověď na dotaz
AVP.MessageDialog
AVP.MainWindow
AVP.Product_Notification
AVP.SettingsWindow
AVP.ReportWindow
Agnitum Outpost Firewall - konfigurace.cfg
Настройка системы
Редактор реестра
RegEdit_RegEdit
Pokud trojan zjistí taková okna, budou automaticky zavřena.
Trojan také hledá flash zařízení. Pokud detekuje takové zařízení, Trojan zkopíruje své tělo jako "CDburn.exe" a vytvoří soubor s názvem "autorun.inf", který obsahuje odkaz na tělo trojského koně. Tím je zajištěno, že soubor Trojan bude automaticky spuštěn při každém připojení zařízení.
Trojský server také shromažďuje e-mailové adresy od poškozeného stroje a pošle jim e-mailovou zprávu. E-mail má prázdný řádek předmětu a následující obsah:
Zobrazit více
Zjistěte statistiky zranitelností šířících se ve vaší oblasti statistics.securelist.com