• Win32/Appetite.A

  • 0
Автор
Категория Троян
Дата обнаружения 04.02.2014
Размер 320328
Другие названия
Win32.Careto.b (Касперский)
Win32/Seedna.A (Microsoft)
Backdoor.Weevil (Symantec)

Краткое описание

Данный троян работает как backdoor. Им можно управлять дистанционно

Как устанавливается

При выполнении троян копирует себя в следующие папки:

  • %system%\­objframe.dll
  • %appdata%\­Microsoft\­objframe.dll

Троян может заменить существующий реестр записей, на которые ссылается следующие записи реестра, со ссылкой, файл с вредоносным:

  • [HKEY_LOCAL_MACHINE\­SOFTWARE\­Classes\­CLSID\­{ECD4FC4D-521C-11D0-B792-00A0C90312E1}]
    • "InProcServer32"  = "%malwarefilepath%"
  • [HKEY_CURRENT_USER\­SOFTWARE\­Classes\­CLSID\­{ECD4FC4D-521C-11D0-B792-00A0C90312E1}]
    • "InProcServer32" = "%malwarefilepath%"
  • "InProcServer32"  = "%malwarefilepath%"
  • "InProcServer32" = "%malwarefilepath%"

Он создает другие записи реестра:

  • [HKEY_LOCAL_MACHINE\­SOFTWARE\­Classes\­CLSID\­{E6BB64BE-0618-4353-9193-0AFE606D6F0C}]
    • "InprocServer32" = "%originalvalue%"
  • [HKEY_CURRENT_USER\­SOFTWARE\­Classes\­CLSID\­{E6BB64BE-0618-4353-9193-0AFE606D6F0C}]
    • "InprocServer32" = "%originalvalue%"
  • "InprocServer32" = "%originalvalue%"
  • "InprocServer32" = "%originalvalue%"

Вместо %originalvalue% , value(s) взяты из следующей записи реестра:

  • [HKEY_LOCAL_MACHINE\­SOFTWARE\­Classes\­CLSID\­{ECD4FC4D-521C-11D0-B792-00A0C90312E1}]
    • "InProcServer32"
  • [HKEY_CURRENT_USER\­SOFTWARE\­Classes\­CLSID\­{ECD4FC4D-521C-11D0-B792-00A0C90312E1}]
    • "InProcServer32"
  • "InProcServer32"
  • "InProcServer32"

Троян может создать и запустить новый поток под следующими процессами:

  • iexplore.exe
  • firefox.exe
  • chrome.exe

Кража информации

Win32/Аппетит.В это троян, который крадет конфиденциальную информацию.

Троян собирает следующую информацию:

  • information about the operating system and system settings
  • installed program components under  [HKEY_LOCAL_MACHINE\­SOFTWARE\­Microsoft\­Windows\­CurrentVersion\­Uninstall] Registry subkeys
  • network adapter information
  • list of computer users
  • environment variables
  • proxy server settings
Показать больше
Показать меньше

Троян может отправлять информацию на удаленный компьютер.

Дополнительная информация

Троян получает данные и команды от удаленного компьютера через интернет.

Троян содержит список (2) URL-адреса. HTTP -, HTTPS-протокол используется.

Поддерживается выполнение следующих операций:

  • download files from a remote computer and/or the Internet
  • run executable files
  • send gathered information

Троян перехватывает следующие функции Windows API:

  • CreateProcessW (kernel32.dll)
  • GetSidSubAuthority (advapi32.dll)
  • CoInternetCreateZoneManager (urlmon.dll)

Троян может изменять содержимое следующих файлов в памяти:

  • apds.dll
  • chtbrkr.dll
  • cliconfg.dll
  • dbgeng.dll
  • diactfrm.dll
  • dmconfig.dll
  • gpkcsp.dll
  • ieframe.dll
  • iertutil.dll
  • mfc42.dll
  • mfwmaaec.dll
  • mpg4decd.dll
  • msjet40.dll
  • ntdsa.dll
  • oakley.dll
  • opengl32.dll
  • pidgenx.dll
  • pnpui.dll
  • qmgr.dll
  • quartz.dll
  • shell32.dll
  • urlmon.dll
  • verifier.dll
  • wmdrmdev.dll
  • wmicmiplugin.dll
  • wmnetmgr.dll
  • wmvxencd.dll
  • wpdsp.dll
Показать больше
Показать меньше

Похожие записи

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Нажимая на кнопку "Отправить комментарий", я даю согласие на обработку персональных данных и соглашаюсь c политикой конфиденциальности *

Следите за нами:

Яндекс.Метрика