[Tuflya07]

Trojan.Win32. Oficla.w




Вредоносная программа, предназначенная для несанкционированной пользователем загрузки и запуска на компьютере другого вредоносного программного обеспечения.
Инсталляция

При запуске, вредоносная программа извлекает из себя и создает в системной папке windows файл, являющийся динамически подключаемой библиотекой(.dll файл) и содержащий основной вредоносный функционал:
%system%\thxr.wgo
Для автоматического запуска при каждом следующем старте системы троянец добавляет ссылку на созданный файл в ключ автозапуска системного реестра:
[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "Shell"="Explorer.exe rundll32.exe thxr.wgo nwfdtx"

Деструктивная активность

После установки программа обращается к командному серверу:
http://hulejsoops.ru /images/bb.php
С которого получает командную строку, содержащую следующие основные команды и параметры:
"runurl"
-скачивает по папку %temp% файл по указанному url и запускает его.
"taskid"
- указывает на номер задачи.
"delay"
- указывает период обращения к серверу.
"backurls"
- список дополнительных адресов командных серверов, с которыми впоследствии соединяется вредоносная программа. Адреса сохраняются в ключе реестра:
[HKL\SOFTWARE\Classes\idid]
"reporturls"
- после этой команды программа обращается к дополнительным командным серверам для получения других команд.

Таким образом, в результате действия данной программа на компьютер может попасть другое вредоносное программное обеспечение. На момент составления описания программа получала команду на скачивание и запуск файла
http://russ**nmomds.ru/dogma.exe
Также с помощью данных команд злоумышленник может постоянно перенастраивать вредоносную программу на новые командные сервера.