Trojan-Downloader.Win32.Harnig.al

Троянская программа, загружающая из интернета другие файлы. Является приложением Windows (PE EXE-файл), имеет размер около 4КБ, упакована UPX. Размер распакованного файла около 10КБ.

Trojan-Downloader.Win32.Harnig.al («Лаборатория Касперского») также известен как: TrojanDownloader.Win32.Harnig.al («Лаборатория Касперского»), Downloader-PZ (McAfee), Downloader.Trojan (Symantec), Trojan.DownLoader.909 (Doctor Web), Troj/Harnig-AL (Sophos), TrojanDownloader:Win32/Harnig.AM (RAV), TROJ_HARNIG.AL (Trend Micro), TR/Dldr.Harnig.AL (H+BEDV), Win32:Trojano-536 (ALWIL), Downloader.Harnig.AF (Grisoft), Trojan.Downloader.Harnig.al (SOFTWIN), Trojan.Qhost.O (ClamAV), Trj/Harnig.AD (Panda), Win32/TrojanDownloader.Harnig.AL (Eset)

Троянская программа, загружающая из интернета другие файлы. Является приложением Windows (PE EXE-файл), имеет размер около 4КБ, упакована UPX. Размер распакованного файла около 10КБ.

Имеет функцию загрузки файлов из интернета и запуска их на компьютере пользователя. Троянец может загружать и сохранять в системном или корневом каталоге Windows следующие файлы:

 
     * dktibs.exe
     * mstasks1.exe
     * mstasks2.exe
     * mstasks3.exe
     * systime.exe
     * test
     * toolbar.exe 

Harnig.al завершает процессы, содержащие в именах строки:

 
     * actalert.exe
     * alchem.exe
     * bargains.exe
     * bdl74125.exe
     * bitmap.tmp
     * exdl.exe
     * exploit.exe
     * file.exe
     * fnnmqi.exe
     * fucker.exe
     * host32.exe
     * iinstall.exe
     * Installer2.exe
     * intron.exe
     * intronet.exe
     * ir.exe
     * istsvc.exe
     * loadclean.exe
     * lpt.exe
     * msxmidi.exe
     * optimize.exe
     * PEPEmsPE.exe
     * powerscan.exe
     * printer.exe
     * printer32.exe
     * services.exe
     * sidefind.exe
     * s-PEPE.exe
     * telnet.exe
     * teur.exe
     * ttgkirnl.exe
     * twink64.exe
     * usb.exe
     * Winad.exe
     * WinClt.exe
     * winmm64.exe
     * ykyrtws.exe 

Троянец изменяет файл %System%\drivers\etc\hosts, дописывая в него нижеприведенный текст и, тем самым, перенаправляя обращения к данным сайтам на 127.0.0.3:

 
 127.0.0.3 aaasexypics.com
 127.0.0.3 allforadult.com
 127.0.0.3 autoescrowpay.com
 127.0.0.3 awmdabest.com
 127.0.0.3 counter.sexmaniack.com
 127.0.0.3 iframe.biz
 127.0.0.3 newiframe.biz
 127.0.0.3 n-glx.s-redirect.com
 127.0.0.3 pizdato.biz
 127.0.0.3 sexfiles.nu
 127.0.0.3 vesbiz.biz
 127.0.0.3 virgin-tgp.net
 127.0.0.3 www.aaasexypics.com
 127.0.0.3 www.allforadult.com
 127.0.0.3 www.autoescrowpay.com
 127.0.0.3 www.awmdabest.com
 127.0.0.3 www.iframe.biz
 127.0.0.3 www.newiframe.biz
 127.0.0.3 www.pizdato.biz
 127.0.0.3 www.sexfiles.nu
 127.0.0.3 www.vesbiz.biz
 127.0.0.3 www.virgin-tgp.net
 127.0.0.3 x.full-tgp.net
 
Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.