Trojan-Downloader.Win32.Adload.m

Троянская программа-загрузчик. Без ведома пользователя скачивает из Интернета программное обеспечение и запускает его.

Троянская программа-загрузчик. Без ведома пользователя скачивает из Интернета программное обеспечение и запускает его. Программа является приложением Windows (PE EXE-файл). Имеет размер около 7500 байт, упакована NsPack, размер распакованного файла — около 37 КБ. Написана на языке Ассемблер.

Деструктивная активность

При запуске программа создает поток для работы с брандмауэром ОС Windows, который утвердительно отвечает на запросы брандмауэра о разрешении сетевой активности для троянского приложения. Поток постоянно сканирует систему в поиске окон содержащих в своем заголовке такие строки:

Warning: Components Have Changed
Hidden Process Requests Network Access

Если такие окна существуют, программа имитирует нажатие мышки на кнопку «OK», которая размещена на этих окнах.

Так же программа ищет в системе окно с заголовком:

Windows Security Alert

Если находит, то имитирует нажатие на кнопку «Unblock», размещенную на этом окне.

Так же если в системе существует окно с заголовком:

Create rule for <имя_тоянского_файла.exe>

Программа имитирует выбор в этом окне опции «Allow all activities for this application» и нажатие на кнопку «OK».

После этого поток ищет окно с заголовком «PermissionDlg», имитирует выбор в этом окне опции «Remember this answer the next time I use this program» и нажатие на кнопку «Yes» в этом окне.

Кроме этого троянец выполняет следующие действия:

Cоздает следующий параметр в ключе системного реестра Windows:

[HKCU\Software\Microsoft\Windows\CurrentVersion]
 "adv579"="adv579"

В различных вариантах данного троянца значение указанного параметра может быть другим.

Пытается скрыть свой процесс из списка процессов с помощью вызова скрытой функции ОС Windows 98 — RegisterServiceProcess.

Ждет соединения с интернетом, после чего загружает файл, находящийся по адресу: http://tool***dollars.biz/dl/dl.php?adv=adv579

и сохраняет его в каталог %WinDir%/uniq/.

Далее троянец загружает из интернета на компьютер пользователя следующие файлы:

http://tool***dollars.biz/progs/kl.txt
http://tool***dollars.biz/progs/country.php
http://tool***dollars.biz/progs/it.txt
http://tool***dollars.biz/progs/secure32.php
http://tool***dollars.biz/progs/paytime.txt
http://tool***dollars.biz/progs/toolbar.txt
http://tool***dollars.biz/progs/tool1.txt
http://tool***dollars.biz/progs/tool2.txt
http://tool***dollars.biz/progs/tool3.txt
http://tool***dollars.biz/progs/tool4.txt
http://tool***dollars.biz/progs/tool5.txt
http://tool***dollars.biz/progs/ms1.txt
http://tool***dollars.biz/progs/hosts.txt

и сохраняет их под следующими именами:

%WinDir%\kl.exe
%WinDir%\country.exe
%WinDir%\countrydial.exe
%WinDir%\secure32.html
%System%\paytime.exe
%WinDir%\toolbar.exe
%WinDir%\tool1.exe
%WinDir%\tool2.exe
%WinDir%\tool3.exe
%WinDir%\tool4.exe
%WinDir%\tool5.exe
%WinDir%\ms1.exe
%WinDir%\hosts

После чего загруженные файлы запускаются на исполнение.