Win32/Trojan.Xorpix.A

Ответ на математический пример, который Вы ввели - неверный.

Другие модификации: A, V
Запуск

После запуска троян создает в папке %Documents and Settings%\%All Users%\%Common Documents%\Settings файл arm32.dll. Файл скрытый.

Устанавливает загрузку своей библиотеки при старте процесса Winlogon (во время загрузки системы):

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\arm32reg]
"Asynchronous"="dword: 0x00000001"
"DllName"="%Documents and Settings%\%All Users%\%Common Documents%\Settings\arm32.dll"
"Startup"="arm32reg"
"Impersonate"="dword: 0x00000001"

Непрерывно проверяет наличие данного ключа реестра и восстанавливает его в случае ручного удаления.
Действие

Троян загружает с сайта злоумышленника файл конфигурации, необходимый для своей работы и сохраняет его в следующую папку:

%Documents and Settings%\%All Users%\%Common Documents%\Settings\desktop.ini

После этого троянец запускает процесс iexplore.exe и внедряет в него свой код. Данный процесс открывает произвольный TCP-порт в системе. После чего номер открытого порта троянец отправляет злоумышленнику.

Таким образом злоумышленник получает возможность работать в сети от имени зараженного компьютера без ведома пользователя.

Источник информации stopvirus.ru

Отправить новый комментарий

Пожалуйста решите математический пример выше и заполните результат. (напр для 1+1, введите 2)
Содержимое этого поля хранится скрыто и не будет показываться публично.