Trojan.Win32.Agent.ay

Jest to trojan z funkcjami oprogramownia adware. Rozmiar szkodnika to 76 800 bajt贸w (kompresja UPX).

Po uruchomieniu trojan kopiuje si臋 do foldera %WINDIR%System32 z losow膮 nazw膮 i tworzy dla tej kopii klucz w rejestrze systemowym, co zapewnia mu uruchamianie wraz z ka偶dym startem systemu Windows.

Trojan mo偶e uaktualnia膰 si臋 przez Internet.

Szkodnik synchronizuje si臋 z nast臋puj膮cymi serwerami NTP w celu kontrolowania czasu:

clock.fmt.he.net
decimal.lib.ci.phoenix.az.us
dewey.lib.ci.phoenix.az.us
fartein.ifi.uio.no
hora.oxixares.com
ntp.cais.rnp.br
ntp.cgi.cz
ntp.cpsc.ucalgary.ca
ntp.doubleukay.co
ntp.ewha.net
ntp.globe.cz
ntp.hiway.com.br
ntp.karpo.cz
ntp.massayonet.com.br
ntp.maths.tcd.ie
ntp.mfa.gr
ntp.obspm.fr
ntp.pop-pr.rnp.br
ntp.saard.net
ntp.tuxfamily.net
ntp.ucsd.edu
ntp.ucsd.edu
ntp.ufes.br
ntp.univ-lyon1.fr
ntp.via.ecp.fr
ntp1.belbone.be
ntp1.cmc.ec.gc.ca
ntp1.contactel.cz
ntp1.pucpr.br
ntp1.theinternetone.net
ntp1.tuxfamily.net
ntp2.belbone.be
ntp2.contactel.cz
ntp2.tuxfamily.net
ntps.net4u.it
tack.fh-augsburg.de
tick.fh-augsburg.de
tick.keso.fi
tick.nap.com.ar
tick.utoronto.ca
time.alcanet.no
time.chu.nrc.ca
time.nrc.ca
time.sinectis.com.ar
timelord.uregina.ca
tock.keso.fi
tock.nap.com.ar
tock.utoronto.ca

Trojan 艣ledzi dzia艂ania u偶ytkownika zainfekowanego komputera i gromadzi wiele informacji systemowych.

W kodzie szkodnika zapisane s膮 nast臋puj膮ce teksty:

callinghome.biz
startwatcher
OfferDrv-{F395B5B4-1837-4e79-AD7B-7287043E4DBC}
Trojan.DownLoader.1518 (Doctor Web),   Troj/Dloader-KL (Sophos),   TROJ_AGENT.AAB (Trend Micro),   Agent.F (Grisoft),   Trojan.Agent.AY (SOFTWIN),   Adware/Twain-Tech (Panda)