ANTICHAT — форум по информационной безопасности, OSINT и технологиям

Троянская программа, позволяющая злоумышленнику использовать зараженную машину в качестве прокси-сервера. Является приложением Windows (PE EXE-файл). Имеет размер около 17 КБ. Упакована при помощи UPack, размер распакованного файла — около 258 КБ.

Инсталляция

После запуска троянец создает в папке %Documents and Settings%\%All Users%\%Common Documents%\Settings файл arm32.dll. Файл имеет атрибут «скрытый».

Устанавливает загрузку своей библиотеки при старте процесса Winlogon (во время загрузки системы):
[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\arm32reg]
"Asynchronous"="dword: 0x00000001"
"DllName"="%Documents and Settings%\%All Users%\%Common Documents%\Settings\arm32.dll"
"Startup"="arm32reg"
"Impersonate"="dword: 0x00000001"

Троянец непрерывно проверяет наличие данного ключа реестра и восстанавливает его в случае ручного удаления.

Деструктивная активность

Троян загружает с сайта злоумышленника файл конфигурации, необходимый для своей работы и сохраняет его в следующую папку:
%Documents and Settings%\%All Users%\%Common Documents%\Settings\desktop.ini

После этого троянец запускает процесс iexplore.exe и внедряет в него свой код. Данный процесс открывает произвольный TCP-порт в системе. После чего номер открытого порта троянец отправляет злоумышленнику.

Таким образом злоумышленник получает возможность работать в сети от имени зараженного компьютера без ведома пользователя.
securitylab.ru