Trojan.Win32. Agent.bsgm

Вредоносная программа, заражающая файлы на компьютере пользователя. Программа является приложением Windows (-PE EXE-файл)-.

Вредоносная программа, заражающая файлы на компьютере пользователя. Программа является приложением Windows (PE EXE-файл). Имеет размер 22987 байт. Упакована при помощи MEW. Распакованный размер - около 162 КБ. Написана на Visual Basic.

Инсталляция

После запуска вирус создает копии своего тела под следующими именами:

%Temp%\Kill Brontok.exe
%WinDir%\Screen Task.scr
%Documents and Settings%\\taskmgr.exe

Где - имя текущего пользователя Windows.

При этом файлу с именем "taskmgr.exe" устанавливает атрибуты "скрытый" и "системный".

Для автоматического запуска при каждом следующем старте системы вирус добавляет ссылку на копии своего исполняемого файла в ключи автозапуска системного реестра:

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run]
"Task" = "%Documents and Settings%\\taskmgr.exe"

[HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell" = "%WinDir%\Explorer.exe %Documents and Settings%
\\taskmgr.exe"Для автоматического запуска копии вируса каждые 600 секунд, при бездействии операционной системы, активирует автоматический запуск экранной заставки и прописывает свою копию по пути к файлу экранной заставки, добавив следующую информацию в ключ системного реестра:

[HKCU\Control Panel\Desktop]
"ScreenSaveTimeOut" = "600"
"ScreenSaveActive" = "1"
"SCRNSAVE.EXE" = "%WinDir%\Screen Task.scr"

Вирус копирует свое тело во все доступные на запись сетевые, логические и съемные диски под именем:

:\Boot.exe

Где - буква диска компьютера пользователя.

Также помещает в корень диска сопровождающий файл:

:\autorun.inf

который запускает исполняемый файл вируса, каждый раз, когда пользователь открывает зараженный раздел при помощи программы "Проводник".
name="doc3">

Деструктивная активность

Для скрытия расширений исполняемых файлов добавляет следующую информацию в ключ системного реестра:

[HKCR\exefile]
"NeverShowExt"=""

Изменяет параметры работы зон безопасности браузера, добавив следующую информацию в ключи системного реестра: [HKCU\Software\Microsoft\Windows\CurrentVersion\
Internet Settings\ZoneMap]
"ProxyByPass" = "1"
"IntranetName" = "1"
"UNCAsIntranet" = "1"На логических дисках компьютера пользователя вирус производит поиск файлов с расширением "htm". Во всех найденных файлах ищет почтовые адреса, на которые отсылает письма следующего вида:

Тема письма:

Reply DataFolder

Текст письма:

Please Save Attachment  File For Detail Data In File
( Save Attachment and after that Open the DataFle Scan Virus)

Имя файла-вложения:

Kill Brontok.exe