Trojan-Proxy.Win32.Xorpix.ar

Trojan ten pozwala zdalnemu szkodliwemu u偶ytkownikowi na wykorzystanie zaatakowanej maszyny jako serwer proxy. Ma posta膰 pliku PE EXE o rozmiarze oko艂o 17KB (kompresja UPack, rozmiar po rozpakowaniu - 258KB).

Instalacja

Po uruchomieniu trojan umieszcza poni偶szy plik w %Documents and Settings%\%All Users%Common Documents%Settings.

  • arm32.dll — do pliku tego przypisany jest atrybut "ukryty"

Trojan zapewnia za艂adowanie swojej biblioteki po rozpocz臋ciu procesu Winlogon (po uruchomieniu systemu):

[HKLMSoftwareMicrosoftWindows NTCurrentVersionWinlogonNotifyarm32reg]
"Asynchronous"="dword: 0x00000001"
"DllName"="%Documents and Settings%\%All Users%\%Common Documents%Settingsarm32.dll"
"Startup"="arm32reg"
"Impersonate"="dword: 0x00000001"

Trojan nieustannie sprawdza, czy klucz ten jest obecny w rejestrze, a je艣li zostanie r臋cznie usuni臋ty, przywraca go.

Funkcje szkodnika

Trojan pobiera plik konfiguracji ze strony zdalnego szkodliwego u偶ytkownika i zapisuje go w nast臋puj膮cym folderze:

%Documents and Settings%\%All Users%\%Common Documents%Settingsdesktop.ini

szkodnik uruchamia proces iexplore.exe i wstrzykuje do niego sw贸j kod. Proces ten otwiera losowy port TCP. Zdalny szkodliwy u偶ytkownik jest nast臋pnie informowany o numerze otwartego portu.

W ten spos贸b zdalny szkodliwy u偶ytkownik mo偶e pracowa膰 jak gdyby z zaatakowanej maszyny w sieci.

Usuwanie szkodnika z zainfekowanego systemu

W celu usuni臋cia trojana u偶yj oprogramowania Anti-Virus 6.0. Uaktualnij sygnatury zagro偶e艅 i przeprowad藕 pe艂ne skanowanie komputera (pobierz darmow膮 wersj臋 testow膮 programu Kaspersky Anti-Virus).