| Автор |  |
| Категория | Троян |
| Дата обнаружения | 18.04.2014 |
| Размер | 358400 |
| Другие названия | |
| Downloader.Zlob.BNXK.trojan (AVG) | |
| Trojan.Horse (Symantec) |
Краткое описание
Данный троян работает как backdoor. Им можно управлять дистанционно
Как устанавливается
Троян не создает своих копий.
Троян может установить следующие системные драйверы (путь, имя):
- %system%\drivers\dump_mpfve.sys, {D9D5B985-05A5-4696-9E52-670DF856BE83}
Троян может устанавливать следующие значения реестра:
- [HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\{D9D5B985-05A5-4696-9E52-670DF856BE83}]
- "ErrorControl" = 0
- "ImagePath" = "%system%\drivers\dump_mpfve.sys"
- "Start" = 3
- "Type" = 1
- "ErrorControl" = 0
- "ImagePath" = "%system%\drivers\dump_mpfve.sys"
- "Start" = 3
- "Type" = 1
Троян может удалить следующие записи в реестре:
- [HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\{D9D5B985-05A5-4696-9E52-670DF856BE83}]
- "ObjectName" = "%data%"
- "ObjectName" = "%data%"
Троян может выполнить следующие команды:
- takeown /f "%system%\drivers\dump_mpfve.sys"
- icacls "%system%\drivers\dump_mpfve.sys" /grant everyone:(f)
- icacls "%system%\drivers\dump_mpfve.sys" /setowner "NT Service\TrustedInstaller"
- icacls "%system%\drivers\dump_mpfve.sys" /remove:g everyone
Кража информации
Троян собирает следующую информацию:
- operating system version
- computer name
- network adapter information
Троян пытается отправить собранную информацию на удаленный компьютер
Дополнительная информация
Он использует методы применяемые в руткитах.
Троян может создать и запустить новый поток под следующими процессами:
- winlogon.exe
Поддерживается выполнение следующих операций:
- set up a proxy server
- monitor network traffic
- run executable files
- send the list of disk devices and their type to a remote computer
- send the list of files on a specific drive to a remote computer
