Trojan.Autoit.Win32.8052

Виды вредоносных программ:

Virus Trojan Backdoor Dropper Downloader Tool Adware Dialer Worm Exploit Rootkit

Trojan.Autoit.Win32.8052 – троянская программа, использующая съемные носители и сеть для своего распространения.

Методы распространения

Троян создаёт копии своего тела на всех доступных для записи сетевых и съемных дисках. При размножении через съемные носители троян копирует себя на носитель в папку <Диск:> \ RECYCLER \ <случайное имя>.exe. В корне каждого съемного диска создаётся сопутствующий файл Autorun.inf, который позволит выполниться копии троянской программы, если на атакуемом компьютере включен автозапуск.

При размножении через сеть, троян копирует своё тело в папки открытые на запись и создаёт в них файл autorun.inf, указывающий на тело троянской программы. Для предотвращения повторного копирования, создает на зараженных ресурсах пустой файл с именем khx.

Функциональные возможности

После запуска, троянская программа копирует свое тело в папку %SYSTEM%>, под именем csrcs.exe и устанавливает для него атрибуты “скрытый и “системный”. Троян ррегистрирует своё тело в системе, создавая для этого, следующие ключи реестра:

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run]
Csrcs =<%SYSTEM%>\csrcs.exe

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
Shell=explorer.exe csrcs.exe

[HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices]
csrcs=<%SYSTEM%>\csrcs.exe

Таким образом, троянская программа будет загружаться при каждом старте Windows, а несколько запись в реестре защищают её от удаления.

По завершению регистрации, исходный файл из которого была запущена троянская программа удаляется.

Для сокрытия своего тела в системе, троян отключает возможность просмотра скрытых файлов и папок, изменяя значения ключей реестра:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder]
ShowSuperHidden= dword:00000000

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
Hidden = dword:00000002

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
SuperHidden = dword:00000002

Для определения своего присутствия в системе создаёт уникальный идентификатор "6E523163793968624 ", который используется для предотвращения многократного запуска троянской программы на одном компьютере. Для контроля своего присутствия в системе создает ключ системного реестра [HKLM\Software\Microsoft\DRM\amty]

Сетевая активность

Для определения внешнего IP адреса зараженного компьютера, троян соединяется с доменом www.whatismyip.com. После чего отправляет уведомление злоумышленнику о заражении компьютера.

Пытается загрузить файлы с удалённых серверов

souxxxxx.com
lemxxxxx.com

Троянская программа подключается к удаленному серверу через канал IRC и выполняет команды удалённого злоумышленника.