• Win32/Appetite.C

  • 0
Автор
Категория Троян
Дата обнаружения 04.02.2014
Размер 348264
Другие названия
Trojan.Win32.Careto.au (Касперский)
BackDoor-FBRF.trojan (McAfee)
TrojanDropper:Win32/Seedna.A (Microsoft)
Backdoor.Weevil.B (Symantec)

Краткое описание

Win32/Аппетит.C устанавливает бэкдор, который может управляться дистанционно. Она использует методы, общие для руткитов.

Как устанавливается

При запуске троян создает следующие файлы:

  • %system%\­awdcxc32.dll (8192 B, Win32/Appetite.C)
  • %system%\­mfcn30.dll (17920 B, Win32/Appetite.C)
  • %system%\­vchw9x.dll (20992 B, Win32/Appetite.C)
  • %system%\­awcodc32.dll (24576 B, Win32/Appetite.C)
  • %system%\­jpeg1x32.dll (31744 B, Win32/Appetite.C)
  • %system%\­bootfont.bin (122912 B, Win32/Appetite.C)
  • %system%\­Drivers\­scsimap.sys (14464 B, Win32/Appetite.C)
  • %temp%\­___%variable%.tmp (9320 B, Win32/Appetite.C)
Показать больше
Показать меньше

Вместо %variable% используется строка с разным содержанием

Устанавливаются следующие системные драйверы (путь, имя):

  • %system%\­Drivers\­scsimap.sys, scsimap

Это приводит к тому, что троян запускается при каждой загрузке системы.

Троян запускает следующий процесс:

  • %temp%\­___%variable%.tmp

Троян создает и запускает новый поток с собственным программным кодом следующих процессах:

  • chrome.exe
  • emule.exe
  • explorer.exe
  • firefox.exe
  • iexplore.exe
  • mozilla.exe
  • netscape.exe
  • opera.exe
Показать больше
Показать меньше

Следующие записи реестра:

  • [HKEY_LOCAL_MACHINE\­System\­CurrentControlSet\­Control\­Session Manager\­Memory Management\­PrefetchParameters]
    • "EnablePrefetcher" = 2
  • [HKEY_LOCAL_MACHINE\­System\­CurrentControlSet\­Services\­scsimap\­Params]
    • "Value" = %binary% (44728 B)
  • "EnablePrefetcher" = 2
  • "Value" = %binary% (44728 B)

После завершения установки троян удаляет исходный исполняемый файл.

Кража информации

Win32/Аппетит.C-это троян, который крадет конфиденциальную информацию.

Троян собирает следующую информацию:

  • file(s) content
  • network adapter information
  • operating system version
  • information about the operating system and system settings
  • list of disk devices and their type
  • list of running processes
  • installed software
  • country
  • user name
  • CPU information
  • memory status
Показать больше
Показать меньше

Троян может отправлять информацию на удаленный компьютер.

Дополнительная информация

Троян получает данные и команды от удаленного компьютера через интернет.

Троян содержит список (3) URL-адреса. Используется HTTP протокол.

Поддерживается выполнение следующих операций:

  • download files from a remote computer and/or the Internet
  • run executable files
  • update itself to a newer version
  • uninstall itself
  • monitor network traffic
  • modify network traffic
  • send files to a remote computer
  • send the list of files on a specific drive to a remote computer
Показать больше
Показать меньше

Троян сохраняет различную информацию в следующих файлах:

  • %systemroot%\­System32\­c_50229.nls
  • %systemroot%\­System32\­c_50227.nls

Похожие записи

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Нажимая на кнопку "Отправить комментарий", я даю согласие на обработку персональных данных и соглашаюсь c политикой конфиденциальности *

Следите за нами:

Яндекс.Метрика