Технические детали
Троянская программа, позволяющая злоумышленнику использовать зараженную машину в качестве почтового прокси-сервера. Работает под Windows. Имеет размер около 9KB, упакована при помощи UPX. Размер распакованного файла - около 35KB.
Инсталляция
При запуске "троянец" копирует себя в системный каталог Windows с именем "system.exe".
Для автозапуска "троянец" создаёт следующие ключи в системном реестре:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"ssgrate.exe" = "%system%\system.exe"
Затем "троянец" пытается подключиться к нескольким удаленным серверам для передачи автору информации о зараженном компьютере (IP-адрес зараженной машины и т.д.).
Открывает на зараженной машине порт 39999 и устанавливает себя как почтовый прокси-сервер. После этого зараженная машина может использоваться для рассылки спама.
Прочее
"Троянец" ищет в памяти следующие процессы и пытается прекратить их работу:
ATUPDATER.EXE
AVWUPD32.EXE
AVPUPD.EXE
LUALL.EXE
DRWEBUPW.EXE
ICSSUPPNT.EXE
ICSUPP95.EXE
UPDATE.EXE
NUPGRADE.EXE
ATUPDATER.EXE
AUPDATE.EXE
AUTODOWN.EXE
AUTOTRACE.EXE
AUTOUPDATE.EXE
AVXQUAR.EXE
CFIAUDIT.EXE
MCUPDATE.EXE
NUPGRADE.EXE
RSS-каналы
