| Цитата |
|---|
Pepex пишет:
ПОДОЗРИТ. | GOLAC\\\TORNADO.EXЕ |
Без образа это конечно гадание на коффе...
Тип :
\GOLAC\tornado.exe
\GOLAC\\tornado.exe
\golac\\\tornado.exe ( DrWEB: Trojan.Packed.20312 )
ESET :
Win32/Bflient.K-это червь, который распространяется через съемные носители. Червь содержит backdoor. Может управляться удаленно. Файл run-time сжаты с помощью UPX.
Установка
При запуске червь копирует себя в следующем местоположении:
%appdata%\sjlp.exe
В целях исполнения на каждом запуске системы, червь устанавливает следующие ключи Реестра:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
Winlogon]
"Taskman" = "%appdata%\sjlp.exe"
"Shell" = "explorer.exe,%appdata%\sjlp.exe"
Распространение на сменных носителях
Червь копирует себя в следующем местоположении:
%drive%\GOLAC\tornado.exe
Червь создает следующие файлы:
%диск%\autorun.inf
Таким образом, червь обеспечивает его запуске зараженных носителей вставляется в компьютер.
Информация воровство
Червь собирает следующую информацию:
"cookies"
имя пользователя
имя компьютера
версия операционной системы
Червь может отправить информацию удаленной машине.
Другая информация
Червь создает и запускает новый поток с собственным кодом программы, в рамках следующих процессов:
explorer.exe
iexplore.exe
Червь собирает данные и команды от удаленного компьютера или Интернета.
Червь содержит список (4) Url.
Он может выполнять следующие операции:
загрузка файлов с удаленного компьютера и/или сети Интернет
запустите исполняемые файлы
открытие определенного URL-адреса
обновляться до новой версии,
монитор сетевого трафика
отправка собранной информации
Так, что образ в студию...
