Backdoor.Win32. Agent.amru
27 мая, 2010
Троянская программа, устанавливающая другие программы на компьютере пользователя без его ведома. Является приложением Windows (PE-EXE файл). Имеет размер 40960 байт. Написана на C++.
Деструктивная активность
После запуска троянец получает идентификатор набора национальных параметров LCID, и проверяет первичный идентификатор национального языка. Если он соответствует одному из следующих значений:
Uzbek
Ukrainian
Azeri
Kyrgyz
Tatar
Belarusian
Kazakh
Bashkir
Divehi
Armenian
Yakut
Russian
то троянец удаляет свой оригинальный файл и завершает работу.
В противном случае, троянец выполняет следующие действия:
извлекает из своего тела файлы, которые сохраняются в системе под следующими именами:
%System%\mscert.dll
(36352 байта; детектируется Антивирусом Касперского как "Backdoor.Win32.Agent.amrt")
%System%\rdolib.dll
(30720 байт; детектируется Антивирусом Касперского как "Backdoor.Win32.Agent.amrr")
Создает ключи системного реестра:
[HKLM\System\CurrentControlSet\Control\Session
Manager\AppCertDlls]
"AppSecDll" = "%System%\mscert.dll"
[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs" = "%System%\rdolib.dll"
"LoadAppInit_DLLs" = "1"
Таким образом, извлеченные троянцем библиотеки будут внедряться в адресные пространства всех процессов, запускаемых в системе.
После этого троянец завершает свою работу.
Оригинальный файл троянца будет удален во время очередной перезагрузки системы.
__________________
|