Trojan-Dropper.Win32.Agent.adi

Технические детали

Троянская программа, создана для скрытной установки в систему других троянских программ. Основной файл является приложением Windows (PE EXE-файл), имеет размер 21943 байта. Упакован FSG. Размер распакованного файла — около 117 КБ.

Троянская программа при запуске скрытно устанавливает в системную папку Windows следующий файл:

%System%\docent0.dll

Созданный файл детектируется Антивирусом Касперского как Trojan-Spy.Win32.Goldun.ev.

Затем данный файл регистрируется в системном реестре и запускается на исполнение.

Резюме

• Backdoor. Предоставляет злоумышленнику удаленный доступ к зараженному компьютеру

• Trojan-Banker. Похищает конфиденциальную информацию от банков, финансовых учреждений, платежных систем

• Trojan-Dropper. Скрытно устанавливает в систему другие вредоносные программы

• Trojan. Выполняет действия, характерные для вредоносных программ

• Осуществляет сетевую активность

Технические детали

Основной файл является приложением Windows (PE EXE-файл). Имеет размер 21943 байт. Файл был подвергнут обработке специальными утилитами "упаковщиками". Упаковка может применяться в разнообразных целях, в том числе и в легальных программах. Однако вирусописатели зачастую используют ее для обхода средств антивирусной защиты, а также затруднения анализа такой упакованной программы вирусным аналитикомУпакован FSG.

Вредоносная активность

Получает По команде злоумышленника программа выполняет заложенные в нее вредоносные функции. Например, проведение сетевых атак на Интернет-сайты, рассылка спама и других вредоносных программ, удаление файлов пользователя. Представители этого типа вредоносных программ очень часто используются для объединения компьютеров-жертв в так называемые бот-сети/зомби-сети, что позволяет злоумышленникам централизованно управлять всей армией пораженных компьютеров для совершения злонамеренных действий.
Подробнее можно прочитать здесь: http://www.viruslist.com/ru/analysis?pubid=204007610команды удалённого управления от злоумышленника:

путем открытия Открывает один или несколько сетевых портов на зараженном компьютере и прослушивает их, ожидая когда кто-либо выполнит соединение с этим портом. Как правило, вредоносная программа выполняет проверку подлинности подключившегося и только после этого предоставляет злоумышленнику доступ к зараженному компьютерусетевых портов

• 41557
• 4040

Похищает конфиденциальную информацию пользователя от Вредоносная программа, предназначенная для кражи пользовательской информации, относящейся к банковским системам, системам электронных платежей и пластиковых карт. Найденная информация передается злоумышленнику при помощи электронной почты, ftp, web и других способов.
Подробнее можно прочитать здесь: http://www.viruslist.com/ru/analysis?pubid=204007628следующих банков, финансовых учреждений, платежных систем:

• Halifax PLC
• HSBC Group
• Wells Fargo Bank
• NetBank
• Bank Of America
• CommonWealthBank
• Cahoot Bank
• Smile Internet Bank
• Data Processing Center and IT-Service Provider
• Barclays Bank PLC
• Deutsche Bank
• Dresdner Bank
• Alliance & Leicester
• e-gold
• Royal Bank of Scotland (RBS)
• Citibank
• Lloyds TSB Bank
• Noris Bank

Создает файлы на зараженном компьютере. Созданные файлы детектируются Антивирусом Касперского как:

• Trojan-Spy.Win32.Goldun.ev

После чего обеспечивается Используя системный реестр, системные службы или специальные системные файлы, программа может обеспечивать свой запуск или запуск созданных ею файлов при каждой следующей загрузке ОС Windowsавтозагрузка установленных файлов:

путем прописывания в ключах автозапуска системного реестра

используя системные службы

Установленные файлы запускаются в виде системных служб

Внедряет свой код в заданные процессы

Создает соединение с определенными адресами в Интернете

Прочие действия

Изменяет некоторые ключи системного реестра

Удаляет определенные файлы на зараженном компьютере