| Автор |  |
| Категория | Троян |
| Дата обнаружения | 20.02.2014 |
| Размер | 519680 |
| Другие названия | |
| MSIL2.ALYO.trojan (AVG) |
Краткое описание
Троян служит backdoor. Он может управляться дистанционно. Файл run-time с помощью сжатого .Сетка реактор .
Как устанавливается
Троян обычно часть других вредоносных программ.
Троян не создает своих копий.
Троян обычно находится в следующей папке:
- %programfiles%\browser
Троян выполняет следующие процессы:
- %programfiles%\browser\System Scheduler.exe
- %programfiles%\browser\System Idle.exe
- %programfiles%\browser\msiexes.exe
%Programfiles%\browser в папке System (S) и скрытый (H) набор атрибутов в попытке скрыть папку в Windows Explorer.
Троян может устанавливать следующие значения реестра:
- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
- "IPSec" = "%programfiles%\browser\System Scheduler.exe"
- "SmartCard" = "%programfiles%\browser\System Idle.exe"
- "IPSec" = "%programfiles%\browser\System Scheduler.exe"
- "SmartCard" = "%programfiles%\browser\System Idle.exe"
Это приводит к тому, что троян запускается при каждой загрузке системы.
Кража информации
MSIL/агента.OUK-это троян, который крадет конфиденциальную информацию.
Троян собирает следующую информацию:
- information about the operating system and system settings
Троян пытается отправить собранную информацию на удаленный компьютер
Дополнительная информация
Троян получает данные и команды от удаленного компьютера через интернет.
Троян содержит список (34) URL. Используется HTTP протокол в коммуникации.
Общение в сети с удаленного компьютера/сервера шифруется.
Поддерживается выполнение следующих операций:
Троян может устанавливать следующие значения реестра:
- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System]
- "EnableLUA" = 0
- [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings]
- "EnableHttp1_1" = 1
- "ProxyEnable" = "0"
- "ProxyHttp1.1" = "0"
- "ProxyServer" = ""
- "EnableLUA" = 0
- "EnableHttp1_1" = 1
- "ProxyEnable" = "0"
- "ProxyHttp1.1" = "0"
- "ProxyServer" = ""
Троян может выполнить следующие команды:
- ipconfig /flushdns
- TASKKILL /F /IM %variable1%
- REGEDIT /S %variable2%
Троян может внести изменения в ледующий файл:
- %system%\drivers\etc\hosts
Троян может повлиять на поведение следующих приложений:
- Google Chrome
- Microsoft Internet Explorer
- Mozilla Firefox
- Opera
- Safari
Троян завершает процессы с любой из следующих строк в Название:
- dw20
Троян может создавать следующие файлы:
- %malwarepath%\s.x
- %malwarepath%\checker.db.tmp
- %malwarepath%\client.db.tmp
- %malwarepath%\dbs-ex\%variable3%.db
Строка с переменной используется вместо %variable1-3%
Trojan требует Microsoft .NET Framework, XDMessaging .Net библиотека для запуска.
