Поведение Trojan-Proxy, троянский proxy-сервер
Технические детали
Троянская программа, позволяющая злоумышленнику использовать зараженную машину в качестве прокси-сервера, то есть работать в сети от имени «зараженного» хоста. Является приложением Windows (PE EXE-файл). Имеет размер 43008 байт. Написана на Visual C++.
Инсталляция
При запуске троянец копирует себя в корневой каталог Windows («%WinDir%») под именем «svchost.exe»:
%WinDir%svchost.exe
Затем регистрирует себя в ключе автозапуска системного реестра:
[HKLMSoftwareMicrosoftWindowsCurrentVersionRun]
"SVCHOST Generic application" = "%WinDir%svchost.exe"
Таким образом, при каждой последующей загрузке Windows автоматически запускает файл троянца.
Деструктивная активность
Вирус запускает proxy-сервер на машине жертвы. При этом злоумышленник имеет возможности конфигурирования следующих параметров:
- запуск в резидентном режиме;
- установка способа для сбора записи информации в лог;
- установка IP-адреса для входящих и исходящих соединений.
Также троянец открывает следующие ссылки, пытаясь обмануть пользователя и выдать себя за системный сервис, проверяющий доступ к Интернету:
http://vistachecker.com/show.php?v=132&rnd=
http://windowsupdate.microsoft.com/
http://www.microsoft.com/
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для ее удаления необходимо выполнить следующие действия:
- При помощи «Диспетчера задач» завершить системный процесс «svchost.exe», запущенный из папки «%WinDir%».
- Удалить значение из системного реестра:
[HKLMSoftwareMicrosoftWindowsCurrentVersionRun]
"SVCHOST Generic application" = "%WinDir%svchost.exe"
- Удалить файл:
%WinDir%svchost.exe
- Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).
Источник: viruslist.com.
|