Trojan.Scar.Win32.46836

Виды вредоносных программ:

Virus Trojan Backdoor Dropper Downloader Tool Adware Dialer Worm Exploit Rootkit

Trojan.Scar.Win32.46836 –програма, що поєднує функції троянської програми й програми Downloader. Downloader застосовується для завантаження й установки шкідливого ПО ( троянської програми, Backdoor і т.д.) на комп'ютер-жертву. Основне призначення - завантажити з мережі Internet і потай установити в систему шкідливе ПО.

Методи розповсюдження

розповсюджується через файлообмінні Web-Сайти й соціальні мережі, маскуючись під якісь корисні програми, зломщики програм, генератори серійних кодів і ключів. Ошуканий таким маскуванням, користувач завантажує шкідливе ПО й запускає в себе на комп'ютері.

Технічний опис

Шкідливе ПО являє собою PE файл, що виконується (Windows EXE), ррозміром 224786 Байт, упакований UPX. Троянська програма написана на Delphi.

Після запуску троянська програма копіюється своє тіло в папку Windows під іменами sysdriver32.exe і sysdriver32_.exe.

Для автоматичного запуску при кожному старті системи, троянська програма додає посилання на свої файли в ключі автозапуску системного реєстру:

[HKLM\Software\Microsoft\Windows\Currentversion\Run]
<Вихідний файл>.exe = ""<Вихідний файл>.exe""
sysdriver32.exe = ""% Windir %\sysdriver32.exe" rezerv"
sysdriver32_.exe = ""% Windir %\sysdriver32_.exe" rezerv

Також троянська програма рреєструє й запускає сервіс з ім'ям Localsystem, для чого додає ключ реєстру:

[HKEY_LOCAL_MACHINE\SYSTEM\Controlset001\Services\srvsysdriver32]
Type = 0x00000010
Start = 0x00000002
Errorcontrol = 0x00000001
Imagepath = "%Windir%\sysdriver32.exe srv"
Objectname = "Localsystem"

Троянська програма відчиняє випадковий TCP порт у системі, після чого намагається з'єднатися з віддаленими серверами

http://driver-portal-x86.com
http://drivers-z2012.com
http://free-pac.net/distrib_serv/ip_list_3.php і буд.р.

для закачування шкідливого програмного забезпечення.

Деструктивні можливості

Троянська програма завантажує з мережі Internet шкідливе ПО, зберігає його на комп'ютері й запускає на виконання. Таким чином, на комп'ютері виявляється різне шкідливе ПО - віруси, троянські програми й т.п.