Trojan-Downloader.Win32.Small.yx

Троянская программа представляет собой Windows PE EXE-файл. Имеет размер около 3 КБ. Упакована FSG. Размер распакованного файла - около 12 КБ.

Trojan-Downloader.Win32.Small.yx («Лаборатория Касперского») также известен как: Downloader-PZ (McAfee), Downloader.Trojan (Symantec), Trojan.DownLoader.929 (Doctor Web), Troj/Dloader-FE (Sophos), Trojan:Win32/Small.BW (RAV), TROJ_SMALL.YY (Trend Micro), DR/Small.yx1.A (H+BEDV), Downloader.Small.17.AT (Grisoft), Trojan.Downloader.Small.YX (SOFTWIN), Trojan.Qhost.O (ClamAV), Trj/Downloader.ADM (Panda), Win32/TrojanDownloader.Harnig.NAE (Eset)

Троянская программа представляет собой Windows PE EXE-файл. Имеет размер около 3 КБ. Упакована FSG. Размер распакованного файла - около 12 КБ.

Троянская программа имеет функцию загрузки других файлов из интернета и запуска их на компьютере пользователя. С удаленного сервера в интернете загружаются следующие файлы:

 
 dktibs.exe
 mstask1.exe
 mstask2.exe
 mstask3.exe
 systime.exe
 test
 toolbar.exe 

После чего копируются в системный и корневой каталоги Windows и запускаются на исполнение.

Также троянец изменяет файл %System%\drivers\etc\hosts, дописывая в него нижеприведенный текст и, тем самым, блокируя обращения к данным сайтам:

 
 127.0.0.3 aaasexypics.com
 127.0.0.3 allforadult.com
 127.0.0.3 autoescrowpay.com
 127.0.0.3 awmdabest.com
 127.0.0.3 counter.sexmaniack.com
 127.0.0.3 iframe.biz
 127.0.0.3 newiframe.biz
 127.0.0.3 n-glx.s-redirect.com
 127.0.0.3 pizdato.biz
 127.0.0.3 sexfiles.nu
 127.0.0.3 vesbiz.biz
 127.0.0.3 virgin-tgp.net
 127.0.0.3 www.aaasexypics.com
 127.0.0.3 www.allforadult.com
 127.0.0.3 www.autoescrowpay.com
 127.0.0.3 www.awmdabest.com
 127.0.0.3 www.iframe.biz
 127.0.0.3 www.newiframe.biz
 127.0.0.3 www.pizdato.biz
 127.0.0.3 www.sexfiles.nu
 127.0.0.3 www.vesbiz.biz
 127.0.0.3 www.virgin-tgp.net
 127.0.0.3 x.full-tgp.net
 

Small.yx выгружает из системы процессы, содержащие в именах следующие строки:

 
 actalert.exe 
 alchem.exe 
 bargains.exe 
 bdl74125.exe 
 bitmap.tmp 
 exdl.exe 
 exploit.exe 
 file.exe 
 fnnmqi.exe 
 fucker.exe 
 host32.exe 
 iinstall.exe 
 Installer2.exe 
 intron.exe 
 intronet.exe 
 ir.exe 
 istsvc.exe 
 loadclean.exe 
 lpt.exe 
 msxmidi.exe 
 optimize.exe 
 PEPEmsPE.exe 
 powerscan.exe 
 printer.exe 
 printer32.exe 
 services.exe 
 sidefind.exe 
 s-PEPE.exe 
 telnet.exe 
 teur.exe 
 ttgkirnl.exe 
 twink64.exe 
 usb.exe 
 Winad.exe 
 WinClt.exe 
 winmm64.exe 
 ykyrtws.exe