Троянская программа, предназначенная для удаленного управления злоумышленником пораженным компьютером.
Троянская программа, предназначенная для удаленного управления злоумышленником пораженным компьютером. Является приложением Windows (PE EXE-файл). Имеет размер 258048 байт. Упакована ASPack. Распакованный размер - около 673 КБ. Написана на Delphi.
name="doc3">
Деструктивная активность
Троянская программа загружает файл по следующему URL:
http://fatalsoft.tamb.ru/action.actи сохраняет его под именем action.act в текущую папку.
В этом файле содержится команда. Возможны 3 команды: Normal, Pause, Delete.
Normal
- Добавляется ключ автозапуска системного реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"FSStarter" = "fsstarter.exe" - Загружает файлы по следующим URL:
http://smart-ip.net/_res/userbar/blue-bar.gif
Они содержат информацию об IP адресе пользователя.
http://www.ip-ping.ru/informer.gif - Загружает файл по URL:
http://fatalsoft.tamb.ru/fslinklist.lst
в котором находятся ссылки вида:http://www.depositfiles.com/ru/files/
Троян загружает их, затем выполняет. - Загружает файл по URL
http://fatalsoft.tamb.ru/fsreflist.lst
в котором находятся URL куда троян загружает файл fsreport.rep, содержащий blue-bar.gif и informer.gif.
Pause
Троян ожидает указанное количество миллисекунд, затем загружает файл action.act заново.
Delete
- Удаляет файлы (из текущей папки):
blue-bar.gif,
informer.gif,
fsreport.rep,
FSManager.exe,
fsstarter.exe,
fsversion.ver. - Удаляет ключ системного реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"FSStarter". - Добавляет в ключ автозапуска системного реестра
Software\Microsoft\Windows\CurrentVersion\RunOnce
После выполнения команды троянец пытается загрузить следующую команду.
"Selfdel9" = command.com /C del
"SelfdelNT" = cmd /C del