Троянская программа, позволяющая злоумышленнику использовать зараженную машину в качестве прокси-сервера без ведома пользователя.
Троянская программа, позволяющая злоумышленнику использовать зараженную машину в качестве прокси-сервера без ведома пользователя.
Инсталляция
При запуске программа извлекает из себя и устанавливает в системе новый исполняемый файл, копируя его в системный каталог Windows:
%System%\dll32.dllДля автоматического запуска при каждом следующем старте системы программа добавляет ссылку на извлеченный исполняемый файл в ключ автозапуска системного реестра: [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"dll"="rundll32 dll32,sm" Для того чтобы файл dll32.dll выполнял в системе функционал прокси-сервера, программа создает следующие ключи реестра: [HKСU\Software\Microsoft\Windows\CurrentVersion\Internet Settings]
"ProxyEnable"=1
"ProxyOverride"="*.local-
"ProxyServer"="http=localhost:7171"
[HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
FirewallPolicy StandardProfile\GloballyOpenPorts\List]
"7171:TCP"="7171:TCP:*:Enabled:dll32"
"80:TCP"="80:TCP:*:Enabled:dll32"
name="doc3">
Деструктивная активность
Установленная программа перехватывает все DNS запросы, содержащие одну из следующих строк:
".ask."Данные DNS запросы вредоносная программа отправляет на сервер rz-dns.com, в данный момент сервер недоступен, ранее он мог контролироваться злоумышленником.
"search.aol."
"search.live."
"search.msn."
"search.yahoo."
"google."
".sa.aol.com"
".aolcdn.com"
".autodatadirect.com"
"thumbnail.aspx"
"yahooapis.com"
"metacafe.com"
".yimg.com"
"img.youtube.com"