четверг, 20 января 2011 г.

Описание работы вируса Trojan-Dropper.Win32. Agent.cvva

Троянская программа, устанавливающая другие программы на компьютере пользователя без его ведома. Является приложением Windows (PE-EXE файл). Имеет размер 24064 байта. Упакована UPX. Распакованный размер – около 48 КБ. Написана на C++.

Деструктивная активность

После запуска троянец выполняет следующие действия:
  • извлекает из своего тела файл, который сохраняется в системе как %System%\mslaejjs.dll (36865 байт; детектируется Антивирусом Касперского как "Trojan-GameThief.Win32.OnLineGames.bnpj") Данная библиотека предназначена для похищения паролей от пользовательских учетных записей игры "World of Warcraft".
  • Запускает системную утилиту "Rundll32.exe" со следующими параметрами:
    %System%\mslaejjs.dll,w
    Таким образом, из извлеченной библиотеки вызывается функция с именем "w". При этом троянская библиотека будет инсталлирована в систему и подгружена в адресное пространство процесса "wow.exe". Также будет создан следующий ключ автозапуска системного реестра:
    [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
    "rdllvz" = "RUNDLL32.EXE <полный путь к оригинальному 
    файлу троянца>,w" 
  • Находит в системе окно с именем класса "GxWindowClassD3d" и закрывает его, посылая сообщение WM_CLOSE.
  • Создает в своем рабочем каталоге сценарий командного интерпретатора, запускает его и завершает свою работу — данный сценарий удаляет оригинальный файл троянца и самоуничтожается. После этого троянец завершает свою работу.

0 коммент.:

Отправить комментарий