| Автор |  |
| Категория | Троян |
| Дата обнаружения | 21.05.2010 |
| Размер | 20480 |
| Другие названия | |
| Trojan.Win32.Oficla.cxo (Касперский) | |
| SpyAgent-br.dll.trojan (McAfee) | |
| Trojan:Win32/Oficla.AC (Microsoft) | |
| Win32:Oficla-AI (Avast) | |
| Trojan.Sasfis (Symantec) |
Краткое описание
Win32/Oficla.Он-троян, который пытается загружать другие вредоносные программы из Интернета. Он может управляться дистанционно. Троян обычно часть других вредоносных программ.
Как устанавливается
При выполнении троян копирует себя в следующие папки:
- %system%\yise.ero
Для того, чтобы быть запущенным при каждом старте системы, троян устанавливает следующие записи реестра:
- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
- "Shell" = "%originalvalue% rundll32.exe yise.ero mpgyjp"
- "Shell" = "%originalvalue% rundll32.exe yise.ero mpgyjp"
Троян запускает следующие процессы:
- svchost.exe
Троян создает и запускает новый поток с собственным кодом внутри этих запущенных процессов.
Дополнительная информация
Троян получает данные и команды от удаленного компьютера через интернет.
Троян содержит URL адреса. Используется HTTP протокол.
Поддерживается выполнение следующих операций:
- download files from a remote computer and/or the Internet
- run executable files
- update itself to a newer version
Троян сохраняет различную информацию в следующем разделе реестра:
- [HKEY_CLASSES_ROOT\idid]
