Trojan-Downloader.Win32.Small.any

Trojan-Downloader.Win32.Small.any («Лаборатория Касперского») также известен как: Downloader-WG (McAfee), Troj/Voken-A (Sophos), TROJ_SMALL.GAA (Trend Micro), TR/Dldr.Small.any.2 (H+BEDV), Trojan.Downloader.Small.ANY (SOFTWIN), Trojan.Downloader.Small-323 (ClamAV)

Программа представляет собой Windows PE EXE-файл. Имеет размер 6739 байт. Упакована PEC. Размер распакованного файла — около 9 КБ.

Инсталляция

После запуска троянец копирует себя в корневой каталог Windows с именем svchst.exe:

  
  %Windir%\svchst.exe

Затем регистрирует этот файл в ключе автозапуска системного реестра:

  
  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   "ws2_32"="%Windir%\svchst.exe"
  

При каждой следующей загрузке Windows автоматически запустит файл-троянец.

После чего оригинальный запускаемый файл удаляется.

Действие

Троянская программа имеет функцию загрузки из интернета других троянов и запуска их на компьютере пользователя.

Также Small.any выгружает из системы процессы, содержащие в именах следующие строки:

  
  \------.EXE
  \-------.EXE
  \--------.EXE
  \_AVP32.EXE
  \_AVPCC.EXE
  \_AVPM.EXE
  \ACKWIN32.EXE
  \ALG.EXE
  \ANTI-TROJAN.EXE
  \APVXDWIN.EXE
  \ARMOR2NET.EXE
  \AUTODOWN.EXE
  \AVCONSOL.EXE
  \AVE32.EXE
  \AVGCTRL.EXE
  \AVKSERV.EXE
  \AVNT.EXE
  \AVP.EXE
  \AVP32.EXE
  \AVPCC.EXE
  \AVPDOS32.EXE
  \AVPM.EXE
  \AVPTC32.EXE
  \AVPUPD.EXE
  \AVSCHED32.EXE
  \AVWIN95.EXE
  \AVWUPD32.EXE
  \BLACKD.EXE
  \BLACKICE.EXE
  \CFIADMIN.EXE
  \CFIAUDIT.EXE
  \CFINET.EXE
  \CFINET32.EXE
  \CLAW95.EXE
  \CLAW95CF.EXE
  \CLEANER.EXE
  \CLEANER3.EXE
  \DVP95.EXE
  \DVP95_0.EXE
  \ECENGINE.EXE
  \ESAFE.EXE
  \ESPWATCH.EXE
  \F-AGNT95.EXE
  \FINDVIRU.EXE
  \FPROT.EXE
  \F-PROT.EXE
  \F-PROT95.EXE
  \FP-WIN.EXE
  \FRW.EXE
  \F-STOPW.EXE
  \IAMAPP.EXE
  \IAMSERV.EXE
  \IBMASN.EXE
  \IBMAVSP.EXE
  \ICLOAD95.EXE
  \ICLOADNT.EXE
  \ICMON.EXE
  \ICSUPP95.EXE
  \ICSUPPNT.EXE
  \IFACE.EXE
  \IOMON98.EXE
  \JEDI.EXE
  \LOCKDOWN2000.EXE
  \LOOKOUT.EXE
  \LUALL.EXE
  \MOOLIVE.EXE
  \MPFTRAY.EXE
  \N32SCANW.EXE
  \NAVAPW32.EXE
  \NAVLU32.EXE
  \NAVNT.EXE
  \NAVW32.EXE
  \NAVWNT.EXE
  \NISUM.EXE
  \NMAIN.EXE
  \NORMIST.EXE
  \NPROTECT.EXE
  \NUPGRADE.EXE
  \NVC95.EXE
  \NVSVC32.EXE
  \PADMIN.EXE
  \PAVCL.EXE
  \PAVSCHED.EXE
  \PAVW.EXE
  \PCCWIN98.EXE
  \PCFWALLICON.EXE
  \PERSFW.EXE
  \RAV7.EXE
  \RAV7WIN.EXE
  \RESCUE.EXE
  \SAFEWEB.EXE
  \SAVSCAN.EXE
  \SCAN32.EXE
  \SCAN95.EXE
  \SCANPM.EXE
  \SCRSCAN.EXE
  \SERV95.EXE
  \SMC.EXE
  \SPHINX.EXE
  \SWEEP95.EXE
  \TBSCAN.EXE
  \TCA.EXE
  \TDS2-98.EXE
  \TDS2-NT.EXE
  \VET95.EXE
  \VETTRAY.EXE
  \W-----.EXE
  \WEBSCANX.EXE
  \WFINDV32.EXE
  \ZONEALARM.EXE