Меню

Укр Рус

Trojan.Autoit.Win32.8132

Виды вредоносных программ:
Trojan.Autoit.Win32.8132

Trojan.Autoit.Win32.8132 – троянська програма, що  використає знімні носії й мережу для свого розповсюдження.

Методи  поширення

Троян створює копії свого тіла на всіх доступних для запису мережевих і знімних дисках. При розмноженні через знімні носії троян копіює себе  на носій  у папку  <Диск:> \ RECYCLER \ <випадкове ім'я>.exe. У корені кожного знімного диска створюється супутній файл Autorun.inf, який дозволить виконатися копії троянської програми, якщо на комп'ютері, що атакується, включений автозапуск.

При розмноженні через мережу, троян копіює своє тіло в папки відкриті на запис і створює в них файл autorun.inf, що вказує на тіло троянської програми.

Функціональні можливості

Після запуску, троянська програма  копіює своє тіло в папку %SYSTEM%> під ім'ям csrcs.exe і  рреєструє своє тіло в системі, створюючи для цього наступні ключі реєстру:

[HKLM\SOFTWARE\Microsoft\Windows\Currentversion\policies\Explorer\Run]
 Csrcs =<%SYSTEM%>\csrcs.exe

[HKLM\SOFTWARE\Microsoft\Windows NT\Currentversion\Winlogon]
 Shell=explorer.exe csrcs.exe

[HKLM\Software\Microsoft\Windows\Currentversion\Runservices]
 csrcs=<%SYSTEM%>\csrcs.exe

Таким чином, троянська програма буде завантажуватися при кожному старті Windows, а декілька записів у реєстрі захищають її від видалення.

Для приховання свого тіла в системі, троян відключає  можливість перегляду прихованих файлів і папок, змінюючи значення ключів реєстру:

[HKCU\Software\Microsoft\Windows\Currentversion\Explorer\Advanced\Folder]
 Showsuperhidden= dword:00000000

[HKCU\Software\Microsoft\Windows\Currentversion\Explorer\Advanced]
  Hidden = dword:00000002

[HKCU\Software\Microsoft\Windows\Currentversion\Explorer\Advanced]
 Superhidden = dword:00000002

Для визначення своєї присутності в системі створює унікальний ідентифікатор "df8g1sdf68g18er1g8re16", який використається для запобігання багаторазового запуску троянської програми на одному комп'ютері.

Мережева активність

Для визначення зовнішнього IP адреси зараженого комп'ютера, троян з'єднується  з доменом www.whatismyip.com.

Деструктивні можливості

Троянська програма краде логіни й паролі до різних Internet аккаунтів і передає їх зловмисникові.

© 2009 - 2024 Zillya! Антивірус. Всі права захищено. Використання матеріалів сайту без посилання на першоджерело заборонено
Політика конфіденційності
Публічний договір-оферта
i
Про компанію
Кіберграмотність
Курси з інфо-безпеки Публікації Вірусна енциклопедія
Служба підтримки
+38 (044) 334 4020