Троянская программа, загружающая файлы из сети Интернет без ведома пользователя и запускающая их.
Троянская программа, загружающая файлы из сети Интернет без ведома пользователя и запускающая их. Является приложением Windows (PE-EXE файл). Имеет размер 18432 байта. Написана на C++.
name="doc3">
Деструктивная активность
После запуска троянец выполняет следующие действия:
- выгружает из системной памяти процесс "conme.exe".
- Извлекает из своего тела файл, который сохраняется в системе как
%WinDir%\conme.exe
(10240 байт- детектируется Антивирусом Касперского как "Trojan-Downloader.Win32.Agent.dbll") - Для автоматического запуска извлеченного файла при каждом следующем старте системы дописывает в значение ключа системного реестра:
[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
подстроку:
"Shell"%WinDir%\conme.exe asds
При этом файл "conme.exe" будет запускаться процессом "WINLOGON.EXE" даже при загрузке системы в "безопасном режиме". - Запускает на выполнение файл "conme.exe".
- Устанавливает для своего оригинального файла атрибуты "скрытый" (hidden) и "системный" (system).
- Запрещает отображение скрытых файлов Проводником Windows, изменяя для этого значения следующих ключей системного реестра:[HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\
Advanced\Folder\SuperHidden]
"UncheckedValue" = "0"
[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\
Advanced] "ShowSuperHidden" = "0" - Загружает из сети Интернет файл по следующей ссылке:
http://1.vi***0.cn/reques0.asp?kind=001&mac=
где&key=\YHTOYnXXp[HO - физический адрес активного сетевого адаптера. Загруженный файл сохраняется в каталоге хранения временных файлов текущего пользователя как
%Temp%\alwpo.htm
Загруженному файлу присваиваются атрибуты "скрытый" (hidden) и "системный" (system). После успешной загрузки файл запускается на выполнение. На момент создания описания файл не загружался.