Пенетратор (зловреден софтуер)

Внимание! Тази страница или раздел съдържа нецензурни думи.

  • в папката \ Windows \ System32 \ папка създава DETER177;
  • в папката \ Windows \ System32 \ DETER177 \ lsass.exe създава скрит файл (117248 байта, за разлика от настоящия lsass.exe се намира в папката \ Windows \ System32.);
  • в папката \ Windows \ System32 \ DETER177 \ smss.exe създава скрит файл (117248 байта, за разлика от настоящия smss.exe се намира в папката Windows \ System32 \.);
  • в папката \ Windows \ System32 \ DETER177 \ svchost.exe създава скрит файл (117248 байта на букви "в" и "о" - на кирилица, за разлика от настоящото svchost.exe);
  • в папката \ Windows \ System32 \ AHTOMSYS19.exe създава скрит файл (117248 байта);
  • в папката \ Windows \ System32 \ stfmon.exe създава скрит файл (117248 байта на букви "в" и "о" - на кирилица, за разлика от настоящото Ctfmon.exe);
  • в папката \ Windows \ System32 \ psador18.dll създава скрит файл (32 байта);
  • в папката \ Windows \ System32 \ psagor18.sys създава скрит файл (117248 байта);
  • AHTOMSYS19.exe файлове. \ Windows \ System32 \ DETER177 \ lsass.exe и \ Windows \ System32 \ stfmon.exe самозарядни и неизменно присъства в паметта;
  • Trojan е разрушително действие, насочено към .avi файлове. док. JPG. JPEG. mp3. MPEG. МИН. PDF формат. промила. RAR. VOB. WMA. WMV. XLS. цип;
  • всички .jpg-файл (.jpg. JPEG) заменя BMP изображение под .jpg на обвивката в 69h15 размер на пикселите, 3174 байта със стилизиран надпис проникващ. .bmp файлове. PNG. TIFF троянски не докосва;
  • съдържанието на .doc и .xls файлове неприлично заменят със следния текст съобщението (в този случай размерът на тези файлове става 196 байта - по обем на текстово съобщение):
  • Trojan създава папка с Burn CDburn.exe и autorun.inf файлове (местоположение папка: Windows XP - \ Documents и Settings \<Имя_пользователя>\ Local Settings \ Application Data \ Microsoft \ Windows; Windows Vista и Windows 7 - \ Users \ магистър \ AppData \ Local \ Microsoft \ Windows \ Burn);
  • Във всяка папка (включително подпапки) карам където стартирането състоя flash.scr файл, самият троянски копия <имя_папки>.SCR (117,248 байта); След това flash.scr файл на диска (което вече е заразен), обикновено самостоятелно destructs, оставяйки като корен скрити троянски файл, (без име) с .scr разширение;
  • когато отваряте / свързване на местни / троянски сменяеми дискове копират медии без примеси;
  • произвежда скрит призив към следните системни с DLL библиотеки: ntdll.dll, kernel32.dll, MSVBVM60.DLL, user32.dll, gdi32.dll, ADVAPI32.dll, RPCRT4.dll, Ole32.dll, oleaut32.dll, Msvcrt.dll.

Преоблечен троянски в системата, както следва:

Признаване троянски антивирусен софтуер

Различни антивирусна го разпознават по различни начини: