Trojan.Scar.Win32.45905

Виды вредоносных программ:

Virus Trojan Backdoor Dropper Downloader Tool Adware Dialer Worm Exploit Rootkit

Trojan.Scar.Win32.45905 - троянская программа, загружающее другое вредоносное ПО.

Методы распространения

распространяется через файлообменные Web-сайты и социальные сети, маскируясь под некоторые полезные программы, взломщики программ, генераторы серийных кодов и ключей, и т.п. Чем побуждает пользователя скачать её и запустить у себя на компьютере. Также, она активно рраспространяется порно сайтами, под видом программы необходимой для просмотра фотографий и видео файлов.

Функциональные возможности

Троянская программа имеет рразмер 242688 Байт, упакована UPX.
После запуска троянская программа копирует свое тело в системный каталог Windows под именами sysdriver32.exe и sysdriver32_.exe и создает файл %Windows%\iplist.txt. Для файлов устанавливаются атрибуты “Архивный”, “Скрытый”, “Системный”.
Для автоматического запуска при каждом старте системы, троянская программа регестрирует новый сервис – добавляя ссылку на свой файл в ключ системного реестра:

[HKLM\System\CurrentControlSet\\Services\srvsysdriver32]
   Type = dword:00000010
    Start = dword:00000002
    ErrorControl = dword:00000001
    ImagePath = "%Windows%\sysdriver32.exe srv"
    ObjectName = "LocalSystem""

А также добавляя ссылки на свои файлы в ключи автозапуска системного реестра:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
<Исходное имя> = """ <Исходный путь>\<Исходное имя >""
sysdriver32.exe = """%Windows%\sysdriver32.exe" rezerv"
sysdriver32_.exe = """%Windows%\sysdriver32_.exe" rezerv"

Следует обратить внимание, что в автозапуск прописываються не только пути к созданным файлам sysdriver32.exe и sysdriver32_.exe, но также и путь к исходному файлу троянской программы, откуда был произведён первый запуск. Такая методика иcпользуется для защиты троянской программы от удалёния из системы.

После инсталяции в систему троянская программа пытается соединиться с сайтами supercarsinfo.net , free-pac.net, bmp-forwindows.com для загрузки вредоносного обеспечения.

Деструктивные возможности

Пытается загрузить из сети Internet вредоносное ПО. Таким образом, на компьютере оказывается различное вредоносное ПО - вирусы, троянские программы и т.п.