[SYMANTEC] Trojan.Expilan

[cosik_ktosik]

Symantec ostrzega przed trojanem Trojan.Expilan, który ukrywa się pod plikiem slideshow.exe

Szkodnik tworzy pliki:

Kod: Zaznacz cały

    %Temp%\IXP001.TMP\pictures.exe
    %Temp%\IXP000.TMP\AdobeR1.exe
    %UserProfile%\Microsoft\Windows\Z0xapp8T.tmp\AdbrRader.exe
    %UserProfile%\Microsoft\Windows\Z0xapp8T.tmp\AdobeIns.exe
    %UserProfile%\Microsoft\Windows\Z0xapp8T.tmp\GoogleUpate.exe
    %UserProfile%\Microsoft\Windows\Z0xapp8T.tmp\GooglUpd.exe
    %UserProfile%\Microsoft\Windows\Z0xapp8T.tmp\nvisdvr.exe
    %UserProfile%\Microsoft\Windows\Z0xapp8T.tmp\nvidrv.exe
    %UserProfile%\Microsoft\Windows\Z0xapp8T.tmp\rundl132.exe
    %UserProfile%\Microsoft\Windows\Z0xapp8T.tmp\svhosts.exe
    %UserProfile%\Application Data\Microsoft\Windows\win32.tmp\vgadmysadm.tmp
    %UserProfile%\Application Data\Microsoft\Windows\win32.tmp\vgosysaext.tmp
    %UserProfile%\Application Data\Microsoft\Windows\win32.tmp\vg2sxoysinf.tmp
    %UserProfile%\Application Data\Microsoft\Windows\win32.tmp\v2cgplst.tmp

Następnie dodaje się do autostartu:

Kod: Zaznacz cały

    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"UpdAdbreader" = "%UserProfile%\Microsoft\Windows\Z0xapp8T.tmp\nvidrv.exe"
    HKEY_CURRENT_USER\Software\Microsoft\Direct3D\MostRecentApplication\"Name" = "pictures.exe"
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\MediaResources\DirectSound\Mixer Defaults\DirectSound\Speaker Configuration\"Speaker Configuration" = "140004"
    HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\RunOnce\"wextract_cleanup0" = "rundll32.exe %System%\advpack.dll,DelNodeRunDLL32 \%Temp%\IXP000.TMP\\"""
    HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\RunOnce\"wextract_cleanup1" = "rundll32.exe %System%\advpack.dll,DelNodeRunDLL32 \%Temp%\IXP001.TMP\\"""
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Hardware Profiles\Current\System\CurrentControlSet\Enum\PCI\VEN_8086&DEV_2415&SUBSYS_00008086&REV_01
    HKEY_CURRENT_USER\DefaultKeyboard\User\F124-5KK83-F2IV9-FDN293

Na komputer ściąga dodatkowo inne szkodniki:
Trojan.Zbot
Downloader.Ponik

Modyfikuje plik host, zbiera informacje o systemie, w tym konfiguracji i biosie, zbiera informacje sieciowe i właścicielu komputera, a na koniec wysyła dane na zdalny serwer.