21.02.2007
Trojan-PSW.Win32.Agent.eb
Троянская программа, исполняемый файл имеет размер 14 кб, упакован, иконка визуально похожа на иконку JPEG файла. В случае запуска скрытно выполняет следующие действия:
1. Создает свои копии своего исполняемого файла на диске – файлы с именами WINDOWS\system32\Tapi32init.exe и WINDOWS\REGSVR.EXE
2. Регистрируется в автозапуске при помощи сравнительно малоизвестного способа – при помощи ключа Active Setup, обычно используемого инсталляторами. В данном ключе создается раздел {6M8A6G00-3I18-11C0-821H-444200140P0S}, содержащий параметр StubPath для запуска WINDOWS\system32\Tapi32init.exe
3. Запускает созданный файл WINDOWS\REGSVR.EXE и завершает работу, выводя диалоговое окно с сообщением на английском языке о том, что файл поврежден при загрузке. Исходный файл не удаляется
Запущенный процесс трояна не маскируется от обнаружения, визуально не проявляет своего присутствия в системе. Периодически пересоздает ключ автозапуска в разделе Active Setup (с интервалом примерно 2 секунды), что делает бесполезным его удаление при помощи редактора реестра. Основное назначение троянской программы – ожидание появления окна Интернет-пейджера Yahoo и копирование из него логина и пароля с последующей отправкой злоумышленникам.