Trojan-Proxy.Win32.Xorpix.ar
Po uruchomieniu trojan umieszcza poni偶szy plik w %Documents and Settings%\%All Users%Common Documents%Settings.
- arm32.dll — do pliku tego przypisany jest atrybut "ukryty"
Trojan zapewnia za艂adowanie swojej biblioteki po rozpocz臋ciu procesu Winlogon (po uruchomieniu systemu):
"Asynchronous"="dword: 0x00000001"
"DllName"="%Documents and Settings%\%All Users%\%Common Documents%Settingsarm32.dll"
"Startup"="arm32reg"
"Impersonate"="dword: 0x00000001"
Trojan nieustannie sprawdza, czy klucz ten jest obecny w rejestrze, a je艣li zostanie r臋cznie usuni臋ty, przywraca go.
Trojan pobiera plik konfiguracji ze strony zdalnego szkodliwego u偶ytkownika i zapisuje go w nast臋puj膮cym folderze:
%Documents and Settings%\%All Users%\%Common Documents%Settingsdesktop.ini
szkodnik uruchamia proces iexplore.exe i wstrzykuje do niego sw贸j kod. Proces ten otwiera losowy port TCP. Zdalny szkodliwy u偶ytkownik jest nast臋pnie informowany o numerze otwartego portu.
W ten spos贸b zdalny szkodliwy u偶ytkownik mo偶e pracowa膰 jak gdyby z zaatakowanej maszyny w sieci.
W celu usuni臋cia trojana u偶yj oprogramowania Anti-Virus 6.0. Uaktualnij sygnatury zagro偶e艅 i przeprowad藕 pe艂ne skanowanie komputera (pobierz darmow膮 wersj臋 testow膮 programu Kaspersky Anti-Virus).