Троянская программа, выполняющая деструктивные действия на компьютере пользователя. Является динамической библиотекой Windows (-PE-DLL файл)-.
Троянская программа, выполняющая деструктивные действия на компьютере пользователя. Является динамической библиотекой Windows (PE-DLL файл). Имеет размер 56320 байт. Написана на C++.
name="doc3">
Деструктивная активность
Троянская библиотека экспортирует функцию с именем "Execute", при вызове которой выполняются следующие действия:
- создается каталог:
%Program Files%\KAV
- Из тела троянца извлекаются файлы, сохраняемые в созданном каталоге как
%Program Files%\KAV\CDriver.sys
(11392 байта- детектируется Антивирусом Касперского как "Rootkit.Win32.Agent.bhvr")Руткит предназначен для сокрытия проявлений активности троянца в системе.
%Program Files%\KAV\CDriver.Inf (4173 байта)
При помощи данного файла инициализации осуществляется установка драйвера руткита. - Удаляется ветвь системного реестра и все вложенные ключи:
[HKLM\System\CurrentControlSet\Services\McShield]
- Запускается системная утилита "sc.exe" со следующими параметрами:
sc stop ZhuDongFangYusc delete ZhuDongFangYusc stop 360rpsc delete 360rpsc stop RsRavMonsc delete RsRavMonsc stop McNASvcsc delete McNASvcsc stop MpfServicesc delete MpfServicesc stop McProxysc delete McProxysc stop McShieldsc delete McShieldsc stop McODSsc delete McODSsc stop mcmscsvcsc delete mcmscsvcsc stop McSysmonsc delete McSysmonsc stop ekrnsc delete ekrnsc stop PolicyAgent
Таким образом, производится остановка и удаление служб:ZhuDongFangYu360rpRsRavMonMcNASvcMpfServiceMcProxyMcShieldMcODSmcmscsvcMcSysmonekrn
а также остановка службы "PolicyAgent". - Если в адресное пространство какого-либо процесса, запущенного в системе, подгружены библиотеки:
safemon.dllRavExt.dll
то они будут выгружены.