| Автор |  |
| Категория | Троян |
| Дата обнаружения | 19.09.2011 |
| Размер | 80896 |
| Другие названия | |
| Trojan-Dropper.Win32.Daws.cbdd (Касперский) | |
| TrojanDownloader:Win32/Cutwail.BF (Microsoft) | |
| Win32:Zbot-TCT (Avast) |
Краткое описание
Данный троян работает как backdoor. Им можно управлять дистанционно
Как устанавливается
При выполнении троян копирует себя в следующие места:
- %systemroot%\system32\%variable%.exe
- %userprofile%\%variable%.exe
Вместо %variable% используется строка с разным содержанием
Для того, что бы стартовать с каждым запуском системы, троян прописывается в следующих разделах реестра:
- [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
- "%variable%" = "%systemroot%\system32\%variable%.exe"
- [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
- "%variable%" = "%userprofile%\%variable%.exe"
- "%variable%" = "%systemroot%\system32\%variable%.exe"
- "%variable%" = "%userprofile%\%variable%.exe"
Троян может устанавливать следующие значения реестра:
- [HKEY_LOCAL_MACHINE\Software\WinNTData]
- "prx" = "%downloadedconfiguration%"
- [HKEY_CURRENT_USER\Software\WinNTData]
- "prx" = "%downloadedconfiguration%"
- "prx" = "%downloadedconfiguration%"
- "prx" = "%downloadedconfiguration%"
Кража информации
Win32/Wigon.OV-это троян, который крадет конфиденциальную информацию.
Собирается следующая информация:
- operating system version
Троян пытается отправить собранную информацию на удаленный компьютер
Дополнительная информация
Троян получает данные и команды от удаленного компьютера через интернет.
Троян содержит список (2) IP-адресов. Общение в сети с удаленного компьютера/сервера шифруется.
Поддерживается выполнение следующих операций:
- download files from a remote computer and/or the Internet
- run executable files
Троян может создать и запустить новый поток под следующими процессами:
- svchost.exe
- %malwarefilepath%
