Trojan-PSW. Win32.Agent.qdy
25 мая, 2010
Троянская программа, устанавливающая другие программы на компьютере пользователя без его ведома. Является приложением Windows (PE EXE-файл). Имеет размер 54784 байта. Написана на C++.
Деструктивная активность
При запуске троянец извлекает из своего тела библиотеку и сохраняет её во временном каталоге текущего пользователя под случайным именем:
%Temp%\<rnd>.tmp
Где <<rnd> - случайная цифра.
Данный файл имеет размер 20480 байт и детектируется Антивирусом Касперского как Trojan.Win32.Sasfis.ajil
Далее созданный файл копируется в системный каталог Windows под случайным именем.
Для автоматического запуска функции "nhemkk" созданной библиотеки при каждом следующем старте системы троянец добавляет соответствующую ссылку в ключ автозапуска системного реестра:
[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"="Explorer.exe rundll32.exe <DLL_name> nhemkk"
Где <DLL_name> - имя под которым библиотека была создана в системном каталоге Windows.
После этого троянец завершает свою работу.
__________________
|