Trojan.Scar.Win32.45905

Виды вредоносных программ:

Virus Trojan Backdoor Dropper Downloader Tool Adware Dialer Worm Exploit Rootkit

Trojan.Scar.Win32.45905 - троянська програма, що завантажує інше шкідливе ПО.

Методи розповсюдження

розповсюджується через файлообмінні Web-Сайти й соціальні мережі, маскуючись під якісь корисні програми, зломщики програм, генератори серійних кодів і ключів, і т.п. Чим спонукує користувача скачати її й запустити в себе на комп'ютері. Також, вона активно ррозповсюджується порно сайтами, під видом програми необхідної для перегляду фотографій і відео файлів.

Функціональні можливості

Троянська програма має ррозмір 242688 Байт, упакована UPX.
Після запуску троянська програма копіює своє тіло в системний каталог Windows під іменами sysdriver32.exe і sysdriver32_.exe і створює файл %Windows%\iplist.txt. Для файлів встановлюються атрибути “Архівний”, “Прихований”, “Системний”.
Для автоматичного запуску при кожному старті системи, троянська програма рреєструє новий сервіс – додаючи посилання на свій файл у ключ системного реєстру:

[HKLM\System\Currentcontrolset\\Services\srvsysdriver32]
   Type = dword:00000010
    Start = dword:00000002
    Errorcontrol = dword:00000001
    Imagepath = "%Windows%\sysdriver32.exe srv"
    Objectname = "Localsystem""

А також додаючи посилання на свої файли в ключі автозапуску системного реєстру:

[HKLM\Software\Microsoft\Windows\Currentversion\Run]
<Вихідне ім'я> = """ <Вихідний шлях>\<Вихідне ім'я >""
sysdriver32.exe = """%Windows%\sysdriver32.exe" rezerv"
sysdriver32_.exe = """%Windows%\sysdriver32_.exe" rezerv"

Слід звернути увагу, що в автозапуск додаються не тільки шляхи до створених файлів sysdriver32.exe і sysdriver32_.exe, але також і шлях до початкового файлу троянської програми, звідки був зроблений перший запуск. Така методика використається для захисту троянської програми від видалення із системи.

Після інсталяції в систему троянська програма намагається з'єднатися із сайтами supercarsinfo.net, free-pac.net, bmp-forwindows.com для завантаження шкідливого забезпечення.

Деструктивні можливості

Намагається завантажити з мережі Internet шкідливе ПО. Таким чином, на комп'ютері опиняється різне шкідливе ПО - віруси, троянські програми й т.п.