Семейство Trojan.Stoldt.Win32

Trojan.Stoldt.Win32 – семейство троянских программ, которые загружают вредоносное ПО из интернета.
Отличительной особенностью семейства является упаковка исходного кода троянской программы различными пакерами и протекторами. Характерно использование комбинации методов - шифрование, сжатие, защита от анти-отладки, защита от эмуляции.
Все эти методы  позволяют троянской программе остаться незамеченной антивирусами и проникнуть на компьютер.
Кроме того, использование многократного шифрования существенно затрудняет последующий анализ вредоносного ПО в антивирусной лаборатории.

Большинство троянских программ этого семейства распространяются как патчи и кряки для игр. Распространение идет как при помощи торрент серверов, где они выкладываются вместе с играми, так  и при помощи сайтов распространяющих кряки к играм.

После запуска на компьютере троянская программа копирует свое тело в системную папку Windows или в папку Temp.
Пример:

C:\DOCUME~1\User\LOCALS~1\Temp\haoxy.exe

После чего регистрируется в ключах автозапуска системного реестра:
Пример:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
 UsbCommonIde =  C:\DOCUME~1\User\LOCALS~1\Temp\haoxy.exe

Зарегистрированны попытки троянов данного семейства загрузить вредоносное ПО с удаленных серверов:

www.ananwg.com
www.dagewozhishihunkoufanchininxingxinghaobuyaodawo555555.com
www.haoxiaoyao.com
cnc.haoxiaoyao.com