Trojan.Scar.Win32.46836

Виды вредоносных программ:

Virus Trojan Backdoor Dropper Downloader Tool Adware Dialer Worm Exploit Rootkit

Trojan.Scar.Win32.46836 –программа, объединяющая функции троянской программы и программы Downloader. Downloader применяется для загрузки и установки вредоносного ПО (троянской программы, BackDoor и т.д.) на компьютер-жертву. Основное назначение - загрузить из сети Internet и скрытно установить в систему вредоносное ПО.

Методы распространения

распространяется через файлообменные Web-сайты и социальные сети, маскируясь под некие полезные программы, взломщики программ, генераторы серийных кодов и ключей. Обманутый такой маскировкой, пользователь загружает вредоносное ПО и запускает у себя на компьютере.

Техническое описание

Вредоносное ПО представляет собой исполняемый PE файл (Windows EXE), рразмером 224786 Байт, упакован UPX. Троянская программа написана на Delphi.

После запуска троянская программа копируется своё тело в папку Windows под именами sysdriver32.exe и sysdriver32_.exe.

Для автоматического запуска при каждом старте системы, троянская программа добавляет ссылки на свои файлы в ключи автозапуска системного реестра:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
<Исходный файл>.exe = ""<Исходный файл>.exe""
sysdriver32.exe = ""% Windir %\sysdriver32.exe" rezerv"
sysdriver32_.exe = ""% Windir %\sysdriver32_.exe" rezerv

Также троянская программа ррегистрирует и запускает сервис с именем LocalSystem, для чего добавляет ключ реестра:

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\srvsysdriver32]
Type = 0x00000010
Start = 0x00000002
ErrorControl = 0x00000001
ImagePath = "%Windir%\sysdriver32.exe srv"
ObjectName = "LocalSystem"

Троянская программа открывает случайный TCP порт в системе, после чего пытается соединиться с удалёнными серверами

http://driver-portal-x86.com
http://drivers-z2012.com
http://free-pac.net/distrib_serv/ip_list_3.php и д.р.

для закачки вредоносного программного обеспечения.

Деструктивные возможности

Троянская программа загружает из сети Internet вредоносное ПО, сохраняет его на компьютере и запускает на выполнение. Таким образом, на компьютере оказывается различное вредоносное ПО - вирусы, троянские программы и т.п.