| Автор |  |
| Категория | Троян |
| Дата обнаружения | 18.03.2010 |
| Размер | 51631 |
| Другие названия | |
| Win32/Phanta.a (Касперский) | |
| Trojan:Win32/Ghodow (Microsoft) | |
| Trojan.Mebratix (Symantec) |
Краткое описание
Win32/Dalixi.А это-троян, который пытается загружать другие вредоносные программы из Интернета. Она использует методы, общие для руткитов.
Как устанавливается
При запуске троян создает следующую папку:
- %systemdrive%\Program Files\MSDN
Троян создает следующие файлы:
- %systemdrive%\Program Files\MSDN\atixx.sys
- %systemdrive%\Program Files\MSDN\atixi.sys
- %systemdrive%\Program Files\MSDN\000000000
- %system%\DRIVERS\atixx.sys
- %system%\DRIVERS\atixi.sys
Устанавливаются следующие системные драйверы (путь, имя):
- %system%\DRIVERS\atixx.sys, atixx
- %system%\DRIVERS\atixi.sys, atixi
Win32/Dalixi.В заменяет оригинальный MBR (Master Boot Record) жесткого диска с собственного программного кода, а также размещение дополнительного кода для загрузки и патч следующие файлы:
- ntldr
- ntkrnlpa.exe
Это приводит к тому, что троян запускается при каждой загрузке системы.
Библиотека 000000000 загружается и вводят в следующих процессов:
- explorer.exe
Следующие записи реестра удаляются:
После завершения установки троян удаляет исходный исполняемый файл.
Кража информации
Собирается следующая информация:
- MAC address
- operating system version
- Internet Explorer version
- malware version
- installed antivirus software
Троян пытается отправить собранную информацию на удаленный компьютер
Дополнительная информация
Троян получает данные и команды от удаленного компьютера через интернет.
Троян содержит URL адреса. Используется HTTP протокол.
Троян может загружать файл из Интернета.
Файл хранится в следующей папке:
- %temp%\QQSelf%variable%.exe
Файл затем выполняется. Строка с переменной используется вместо %variable% .
Троян отключает различные, связанные с безопасностью приложений.
