Trojan-Spy.Win32.Sysbug

Класс Trojan-Spy
Платформа Win32
Описание

Technical Details

Троянская программа-шпион. Является приложением Windows (PE EXE-файл), упакована UPX. Размер упакованного файла — около 11KB.

При инсталляции копирует себя с именем «Sysdeb32.exe» в каталог Windows и регистрирует этот файл в ключе автозапуска системного реестра:

[HKLMSoftwareMicrosoftWindowsCurrentVersionRun]
 "SystemDebug"="%Windir%Sysdeb32.exe"

Открывает на зараженной машине TCP порт 5555 и ожидает приема команд.

Ищет информацию о почтовых и dialup аккаунтах на машине и пересылает ее на сайт finance.red-host.com.

Троянец обладает функцией DoS-атаки на сайт www.kernel.org. Также он способен загружать из интернета файлы, сохранять их в «C:tmp.exe» и запускать на выполнение.