Меню

Укр Рус

Trojan.Autoit.Win32.8132

Виды вредоносных программ:
Trojan.Autoit.Win32.8132

Trojan.Autoit.Win32.8132 – троянская программа,  использующая съемные носители и сеть для своего распространения.

Методы  распространения

Троян создаёт копии своего тела на всех доступных для записи сетевых и съемных дисках. При размножении через съемные носители троян копирует себя  на носитель  в папку  <Диск:> \ RECYCLER \ <случайное имя>.exe. В корне каждого съемного диска создаётся сопутствующий файл Autorun.inf, который позволит выполниться копии троянской программы, если на атакуемом компьютере включен автозапуск.

При размножении через сеть, троян копирует своё тело в папки открытые на запись и создаёт в них файл autorun.inf, указывающий на тело троянской программы.

Функциональные возможности

После запуска, троянская программа  копирует свое тело в папку %SYSTEM%> под именем csrcs.exe и  ррегистрирует своё тело в системе, создавая для этого, следующие ключи реестра:

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run]
Csrcs =<%SYSTEM%>\csrcs.exe

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
Shell=explorer.exe csrcs.exe

[HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices]
csrcs=<%SYSTEM%>\csrcs.exe

Таким образом, троянская программа будет загружаться при каждом старте Windows, а несколько запись в реестре защищают её от удаления.

Для сокрытия своего тела в системе, троян отключает  возможность просмотра скрытых файлов и папок, изменяя значения ключей реестра:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder]
ShowSuperHidden= dword:00000000

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
  Hidden = dword:00000002

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
 SuperHidden = dword:00000002

Для определения своего присутствия в системе создаёт уникальный идентификатор "df8g1sdf68g18er1g8re16", который используется для предотвращения многократного запуска троянской программы на одном компьютере.

Сетевая активность

Для определения внешнего IP адреса зараженного компьютера, троян соединяется  с доменом www.whatismyip.com.

Деструктивные возможности

Троянская программа ворует логины и пароли к различным Internet аккаунтам и передаёт их удалённому злоумышленнику.

© 2009 - 2024 Zillya! Антивірус. Все права защищены. Использование материалов сайта без ссылки на первоисточник запрещено
Политика конфиденциальности
Публичный договор-оферта
i
О компании
Киберграмотность
Курсы инфобезопасности Публикации Вирусная энциклопедия
Служба поддержки
+38 (044) 334 4020