Trojan.Garntet

Новости

Тип:

Троян Трояны - вредоносные программы, выполняющие различные несанкционированные действия в системе. Это может быть, в частности, сбор и отправка информации, загрузка из интернета и выполнение другого кода, участие в DoS-атаках, рассылка спама. В отличие от вирусов и червей, трояны не распространяются самостоятельно. Как правило, скрывают своё присутствие в системе и загружаются автоматически после каждого запуска системы.

Операционная система:

Windows

Уровень:

низкий

Размер:

126.976 байт

Признаки

При запуске создает драйвер %System%\drivers\[случайное_имя].sys.

Создает в реестре следующие ключи:

  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_[случайное_имя]
  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\[случайное_имя]
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_[случайное_имя]
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\[случайное_имя]

[случайное_имя] - то же, что и у .sys.

Затем загружает файл настроек с URL [http://]www.in-t-e-r-n-e-t.com/bootup.[???]

В зависимости от настроек, загружает дополнительный код со следующих URL:

  • [http://]www.in-t-e-r-n-e-t.com/manifests/Notifi[???]
  • [http://]www.in-t-e-r-n-e-t.com/manifests/UrlMoni[???]
  • [http://]www.in-t-e-r-n-e-t.com/manifests/AppMana[???]
  • [http://]www.in-t-e-r-n-e-t.com/core.10[???]
  • [http://]www.in-t-e-r-n-e-t.com/UrlMonitor[???]
  • [http://]www.in-t-e-r-n-e-t.com/AppManager[???]
  • [http://]www.in-t-e-r-n-e-t.com/Notifier.[???]

Создает из загруженных компонентов файл %System%\drivers\core.cache.dsk.

Собирает о компьютере следующие данные:

  • IP
  • Версия ОС
  • ID продукта ОС
  • Название используемого браузера
  • Версия браузера
  • Данные о User Agent

Данные отправляются по URL [http://]www.i-nt-e-r-n-e-t.com/c[???]

Троян скрывает себя с использованием руткита.

Открывает “черный ход” на захваченном компьютере. Список функций:

  • Загрузка файлов удаленно
  • Выполнение файлов
  • Модификации в реестре
  • Отслеживает сетевую активность

ЗАЩИТА

  • Отключить функцию “Восстановление системы” (для Windows ME и XP)
  • Полностью проверить систему антивирусом с обновлённой базой сигнатур
  • Удалить все ключи реестра, созданные вредоносной программой; восстановить изменённые настройки (использовать regedit.exe)

Действие

Троян для платформы Windows. Открывает на захваченном компьютере “черный ход” и загружает из интернета дополнительный вредоносный код.