Анализ Вашего трояна:
создает файл:
Код:
"C:\WINDOWS\system32\Windupdt\svchost.exe"
для автозапуска прописывает пути в ветки реестра:
Код:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit\"C:\WINDOWS\system32\userinit.exe,"/"C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\Windupdt\svchost.exe"
и/или
Код:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\windows\"C:\WINDOWS\system32\Windupdt\svchost.exe"
создает папку для хранения логов:
Код:
C:\Documents and Settings\User\Local Settings\Temp\dclog
крадет сохраненные пароли из браузеров и куков, и затем отправляет на следующие ftp-серверы:
Код:
ftp.land.ru
bboott.no-ip.info
Разослал образец по вирлабам
На данный момент должен детектится:
AhnLab - по упаковщику
DrWeb - как Trojan.PWS.UFR.1013
McAfee - по облачному сканированию
FortiClient - по упаковщику
