| Автор |  |
| Категория | Троян |
| Дата обнаружения | 17.03.2008 |
| Размер | 113248 |
| Другие названия | |
| Backdoor.Win32.Turkojan.il (Касперский) | |
| BackDoor-CZP.dr.trojan (McAfee) | |
| Backdoor:Win32/Turkojan.AI (Microsoft) | |
| Backdoor.Trojan (Symantec) |
Краткое описание
Win32/Cakl.NAG устанавливает бэкдор, который может управляться дистанционно.
Как устанавливается
После запуска троян копирует себя в одно из следующих мест:
- %windir%\mstwain32.exe
- %appdata%\mstwain32.exe
Следующие файлы удаляются в той же папке:
- ntdtcstp.dll (7168 B, Win32/Cakl.NAF)
- cmsetac.dll (33792 B)
Для того, чтобы выполняться при старте системы троян устанавливает следующую запись реестра:
- [HKEY_CURRENT_USER\Microsoft\Windows\CurrentVersion\Run]
- "mstwain32" = "%malwarefilepath%"
- "mstwain32" = "%malwarefilepath%"
Троян удаляет точки восстановления системы.
Троян прекращает свое выполнение, если он обнаруживает, что он работает в конкретной виртуальной среде.
Кража информации
Win32/Cakl.NAG-это троян, который крадет конфиденциальную информацию.
Троян собирает следующую информацию:
- login user names for certain applications/services
- login passwords for certain applications/services
- data from the clipboard
- information about the operating system and system settings
Троян способен запоминать нажатые клавиши.
Собранная информация хранится в следующих файлах:
- KB8888239.log
- KB8888113.log
Троян пытается отправить собранную информацию на удаленный компьютер
Дополнительная информация
Троян получает данные и команды от удаленного компьютера через интернет.
Троян содержит список (2) URL-адреса. Он пытается подключиться к удаленной машине в порт: 15963 (TCP).
Поддерживается выполнение следующих операций:
Троян может повлиять на поведение следующих приложений:
- Microsoft MSN Messenger
Троян скрывает своего запущенного процесса.
Троян перехватывает следующие функции Windows API:
