Название
|
Trojan.Win32.Migmaf
|
Тип
|
Троянская программа (WinEXE)
|
Платформа
|
Win98/ME/NT/2000/XP
|
Троянская программа "Proxy-MIGMAF" (Trojan.Win32.Migmaf) является Win32 приложением размером 46080 байт. Сам Trojan.Win32.Migmaf не имеет механизма распространения и переносится с компьютера на компьютер либо при ручной рассылке по электронной почте, либо при помощи почтовых червей.
Инсталляция
После запуска Trojan.Win32.Migmaf создаёт в памяти мьютекс REQUEST_MANAGE_SUBSYSTEM для того, чтобы предотвратить запуск одновременно двух копий программы. Далее он проверяет наличие в системе русской раскладки клавиатуры и, при обнаружении таковой, завершает свою работу. Trojan.Win32.Migmaf не создаёт своих копий на поражённом компьютере, а лишь добавляет запись в реестре, приводящую к автоматической загрузке троянца при запуске операционной системы:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
Login Service = "путь к файлу и его имя"
Проверка доступа к сети Internet
При каждой загрузке в память Trojan.Win32.Migmaf проверяет наличие подключения к сети Internet и после обнаружения подключения "засыпает" на 5 минут. После паузы троян начинает посылать запросы на сервер www.microsoft.com, определяя таким образом пропускную способность канала. После определения скорости канала информация отправляется злоумышленнику.
Процедура Proxy-сервер
После получения информации о канале доступа к глобальной сети Trojan.Win32.Migmaf активизирует процедуру Proxy-сервера. Данная процедура "слушает" всю информацию, поступающую на порт 80 и отправляет её на удалённый компьютер (вероятно, компьютер злоумышленника). Благодаря этой процедуре злоумышленник может посещать WEB-сайты, маскируя свой адрес в глобальной сети под адрес поражённого компьютера.
|