• Win32/Spatet.A

  • 1
Автор
Категория Троян, червь
Дата обнаружения 12.11.2009
Размер 300056
Другие названия
Trojan.Win32.Agent.dfsa (Касперский)
Trojan:Win32/Malagent (Microsoft)
Infostealer (Symantec)

Краткое описание

Win32/Spatet.В это троян, который крадет конфиденциальную информацию. Троян может отправлять информацию на удаленный компьютер. Троян содержит backdoor. Он может управляться дистанционно.

Как устанавливается

После запуска троян копирует себя в одно из следующих мест:

  • C:\­Windows\­System32\­Services\­svchost.exe (300056 B)
  • %appdata%\­Services\­svchost.exe (300056 B)

Для того, что бы стартовать с каждым запуском системы, троян прописывается в следующих разделах реестра:

  • [HKEY_LOCAL_MACHINE\­SOFTWARE\­Microsoft\­Windows\­CurrentVersion\­policies\­Explorer\­Run]
    • "Policies" = "%filepath%"
  • [HKEY_CURRENT_USER\­SOFTWARE\­Microsoft\­Windows\­CurrentVersion\­policies\­Explorer\­Run]
    • "Policies" = "%filepath%"
  • [HKEY_LOCAL_MACHINE\­SOFTWARE\­Microsoft\­Windows\­CurrentVersion\­Run]
    • "Bios" = "%filepath%"
  • [HKEY_CURRENT_USER\­SOFTWARE\­Microsoft\­Windows\­CurrentVersion\­Run]
    • "Bios" = "%filepath%"
  • "Policies" = "%filepath%"
  • "Policies" = "%filepath%"
  • "Bios" = "%filepath%"
  • "Bios" = "%filepath%"

%Filepath% является одной из следующих строк:

  • C:\­Windows\­System32\­Services\­svchost.exe
  • %appdata%\­Services\­svchost.exe

Троян создает и запускает новый поток с собственным программным кодом во всех запущенных процессах.

Кража информации

Троян собирает следующую информацию:

  • RAS accounts
  • HTML forms content
  • memory status
  • list of running processes
  • Windows Protected Storage passwords and credentials
  • Mozilla Firefox account information
  • user name
  • computer name
  • computer IP address
  • network adapter information
  • current screen resolution
  • operating system version
Показать больше
Показать меньше

Троян собирает информацию, относящуюся к следующим приложениям:

  • Vitalwerks DUC
  • Windows Live
  • Internet Explorer
  • Mozilla Firefox
  • Google Chrome

Троян может послать информацию удаленной машине, используя HTTP протокол.

Дополнительная информация

Троян получает данные и команды от удаленного компьютера через интернет.

Троян содержит список из (2) URL. Используется HTTP .

Поддерживается выполнение следующих операций:

  • update itself to a newer version
  • remove itself from the infected computer
  • various filesystem operations
  • create folders
  • delete folders
  • set file attributes
  • move files
  • run executable files
  • terminate running processes
  • send the list of running processes to a remote computer
  • download files from a remote computer and/or the Internet
  • send files to a remote computer
  • delete cookies
  • send the list of disk devices and their type to a remote computer
  • create Registry entries
  • delete Registry entries
  • retrieve CPU information
  • steal information from the Windows clipboard
  • open a specific URL address
  • collect information about the operating system used
  • log keystrokes
  • shut down/restart the computer
  • capture screenshots
  • monitor network traffic
  • open ports
  • block keyboard and mouse input
  • capture webcam video/voice
  • open the CD/DVD drive
  • show/hide application windows
Показать больше
Показать меньше

Троян может создавать следующие файлы:

  • %temp%\­XX--XX--XX.txt
  • %temp%\­NOIP.abc
  • %temp%\­xxxyyyzzz.dat
  • %temp%\­MSN.abc
  • %temp%\­FIREFOX.abc
  • %temp%\­IELOGIN.abc
  • %temp%\­IEPASS.abc
  • %temp%\­IEAUTO.abc
  • %temp%\­IEWEB.abc
  • %temp%\­XxX.xXx
  • %temp%\­UuU.uUu
  • %temp%\­%number1%.tmp
  • %appdata%\­logs.dat
  • %appdata%\­%number2%.txt"
  • %appdata%\­SQLite3.dll
Показать больше
Показать меньше

%number1-2% является случайным числом.

Следующую запись реестра удаляется:

  • [HKEY_CURRENT_USER\­Software\­Microsoft\­Active Setup\­Installed Components\­{CG08B0E5JF-4FCB-11CF-AAA5-00401C6XX500}]

Троян может устанавливать следующие значения реестра:

  • [HKEY_LOCAL_MACHINE\­Software\­Microsoft\­Active Setup\­Installed Components\­{CG08B0E5JF-4FCB-11CF-AAA5-00401C6XX500}]
    • "StubPath" = "%filepath%"
  • [HKEY_CURRENT_USER\­SOFTWARE\­g0dl1ke's Slave]
    • "NewIdentification" = "g0dl1ke's Slave"
    • "FirstExecution" = "%random%"
  • [HKEY_LOCAL_MACHINE\­SYSTEM\­CurrentControlSet\­Services\­SharedAccess\­Parameters\­FirewallPolicy\­StandardProfile\­AuthorizedApplications\­List]
    • "%variable%" = "%variable%:*:Enabled:Windows Firewall Update"
  • "StubPath" = "%filepath%"
  • "NewIdentification" = "g0dl1ke's Slave"
  • "FirstExecution" = "%random%"
  • "%variable%" = "%variable%:*:Enabled:Windows Firewall Update"

Строка с переменным содержанием используется вместо %random%, %variable%

Похожие записи

1 комментарий

  1. Музаффр:
    22.09.2016 в 19:07

    не включается онлайн-тв

    Ответить

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Нажимая на кнопку "Отправить комментарий", я даю согласие на обработку персональных данных и соглашаюсь c политикой конфиденциальности *

Следите за нами:

Яндекс.Метрика