Trojan-Spy.Win32.MLWatch.c
Материал из Total Malware Info
Trojan-Spy.Win32.MLWatch.c Троянская программа, которая осуществляет сбор информации на компьютере пользователя. Является приложением Windows (PE-EXE файл). Имеет размер 37 683 байт. Упакована с помощью UPX. Распакованный размер около114 КБ. Написана на C++.
Инсталляция
При запуске троянец копирует свой исполняемый файл в системный каталог:
%System%\win32sysx.exe
Извлекает из своего тела, во временный каталог Windows, два файла, с временными именами, начинающимися с префикса exe. Один из файлов детектируется как Trojan-Spy.Win32.MLWatch.a Второй файл является библиотекой DLL, которая содержит функции для отправки сообщений по электронной почте. Для автоматического запуска при каждом следующем старте системы троянец добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "win32sysx"="%System%\win32sysx.exe"
Деструктивная активность
Троянец скачивает файл настроек со следующего URL:
http://downloa********exp.com/mlconfig.ini (на момент создания описания ссылка не работала)
Данный файл содержит ссылку для загрузки файла из Интернет в зашифрованном виде. Троянец скачивает файл по этой ссылке и сохраняет его во временной папке с временным именем и расширением .exe. После успешной загрузки файл перемещается в папку "%System% "и запускается. Так же троян ищет в системе окно с именем класса на китайском языке, коды символов строки: C4 A7 C1 A6 B1 A6 B1 B4. Открывает процесс, которому принадлежит данное окно и читает из памяти процесса 30 байт. Считанные данные троянец отправляет на электронный адрес злоумышленника:
masterli@mail.hf.ah.cn.
Рекомендации по удалению
- При помощи «Диспетчера задач» завершить троянский процесс.
- Удалить файл
- Удалить созданные троянцем файлы во временной папке, имена которых начинаются на exe
- Удалить ссылку из ключа автозапуска системного реестра
%System%\win32sysx.exe
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "win32sysx"="%System%\win32sysx.exe"
