FIX.36864 крадет все подряд

FIX.36864 — троянская программа, позволяющая удаленному хакеру осуществить доступ на инфицированный компьютер. Может распростряняться по email.

После выполнения троянец регистрирует себя на зараженной машине как системное ПО:

HKEY_LOCAL_MACHINESoftwareMicrosoftWindows
CurrentVersionRun DialUp Security

А также записывает в каталог Windows System на диск C: и затем запускает на выполнение два других своих файла «1DIALUPS.EXE» и «MASXNFT.DLL». Эти «дропперы» троянца содержат инструкции искать пароли, имена пользователей, имена хостов, dial-up и email-аккаунты и отправлять их электронной почтой по следующим адресам:

addr2@server.com

addr3@server.com

majlisb@yahoo.com

Троянец может распространяться в виде присоединенного файла по электронной почте. Письмо, содержащее троянский файл, выглядит следующим образом:

От кого: Techinfo@microsoft.com

Тема: MICROSOFT WINDOWS (0x800ccc210XC0)
RUNTIME ERROR FIXTURE(Win9x/w2k)

Вложение: Fix210x.exe