Trojan-Downloader.Win32.Adload.m

Троянская программа-загрузчик. Без ведома пользователя скачивает из Интернета программное обеспечение и запускает его.

Троянская программа-загрузчик. Без ведома пользователя скачивает из Интернета программное обеспечение и запускает его. Программа является приложением Windows (PE EXE-файл). Имеет размер около 7500 байт, упакована NsPack, размер распакованного файла — около 37 КБ. Написана на языке Ассемблер.

Деструктивная активность

При запуске программа создает поток для работы с брандмауэром ОС Windows, который утвердительно отвечает на запросы брандмауэра о разрешении сетевой активности для троянского приложения. Поток постоянно сканирует систему в поиске окон содержащих в своем заголовке такие строки:

 Warning: Components Have Changed
 Hidden Process Requests Network Access
 

Если такие окна существуют, программа имитирует нажатие мышки на кнопку «OK», которая размещена на этих окнах.

Так же программа ищет в системе окно с заголовком:

 Windows Security Alert

Если находит, то имитирует нажатие на кнопку «Unblock», размещенную на этом окне.

Так же если в системе существует окно с заголовком:

 Create rule for <имя_тоянского_файла.exe>

Программа имитирует выбор в этом окне опции «Allow all activities for this application» и нажатие на кнопку «OK».

После этого поток ищет окно с заголовком «PermissionDlg», имитирует выбор в этом окне опции «Remember this answer the next time I use this program» и нажатие на кнопку «Yes» в этом окне.

Кроме этого троянец выполняет следующие действия:

Cоздает следующий параметр в ключе системного реестра Windows:

 [HKCU\Software\Microsoft\Windows\CurrentVersion]
  "adv579"="adv579"

В различных вариантах данного троянца значение указанного параметра может быть другим.

Пытается скрыть свой процесс из списка процессов с помощью вызова скрытой функции ОС Windows 98 — RegisterServiceProcess.

Ждет соединения с интернетом, после чего загружает файл, находящийся по адресу: http://tool***dollars.biz/dl/dl.php?adv=adv579

и сохраняет его в каталог %WinDir%/uniq/.

Далее троянец загружает из интернета на компьютер пользователя следующие файлы:

 http://tool***dollars.biz/progs/kl.txt
 http://tool***dollars.biz/progs/country.php
 http://tool***dollars.biz/progs/it.txt
 http://tool***dollars.biz/progs/secure32.php
 http://tool***dollars.biz/progs/paytime.txt
 http://tool***dollars.biz/progs/toolbar.txt
 http://tool***dollars.biz/progs/tool1.txt
 http://tool***dollars.biz/progs/tool2.txt
 http://tool***dollars.biz/progs/tool3.txt
 http://tool***dollars.biz/progs/tool4.txt
 http://tool***dollars.biz/progs/tool5.txt
 http://tool***dollars.biz/progs/ms1.txt
 http://tool***dollars.biz/progs/hosts.txt
 

и сохраняет их под следующими именами:

 %WinDir%\kl.exe
 %WinDir%\country.exe
 %WinDir%\countrydial.exe
 %WinDir%\secure32.html
 %System%\paytime.exe
 %WinDir%\toolbar.exe
 %WinDir%\tool1.exe
 %WinDir%\tool2.exe
 %WinDir%\tool3.exe
 %WinDir%\tool4.exe
 %WinDir%\tool5.exe
 %WinDir%\ms1.exe
 %WinDir%\hosts

После чего загруженные файлы запускаются на исполнение.

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.