Trojan-Downloader. Win32.Small.yt

Троянская программа, загружающая из интернета файлы без ведома пользователя.

Троянская программа, загружающая из интернета файлы без ведома пользователя. Является приложением Windows (PE EXE-файл), имеет размер 5120 байт. Упакована UPX. Размер распакованного файла — 10240 байт.

Деструктивная активность

После запуска троянец создает следующие файлы на диске:


%Windir%\mstasks1.exe
%Windir%\mstasks2.exe
%Windir%\mstasks3.exe
%System%\dktibs.exe
%System%\systime.exe
%Windir%\test
%Windir%\toolbar.exe

Данные файлы первоначально имеют нулевой размер.

Далее троянец без ведома пользователя пытается скачать из интернета обновления к созданным на зараженном компьютере файлам и запустить их на исполнение.

Также троянец изменяет файл %System%\drivers\etc\hosts, дописывая в него нижеприведенный текст и, тем самым, блокируя обращения к данным сайтам:

127.0.0.3 n-glx.s-redirect.com
127.0.0.3 x.full-tgp.net
127.0.0.3 counter.sexmaniack.com
127.0.0.3 autoescrowpay.com
127.0.0.3 www.autoescrowpay.com
127.0.0.3 www.awmdabest.com
127.0.0.3 www.sexfiles.nu
127.0.0.3 awmdabest.com
127.0.0.3 sexfiles.nu
127.0.0.3 allforadult.com
127.0.0.3 www.allforadult.com
127.0.0.3 www.iframe.biz
127.0.0.3 iframe.biz
127.0.0.3 www.newiframe.biz
127.0.0.3 newiframe.biz
127.0.0.3 www.vesbiz.biz
127.0.0.3 vesbiz.biz
127.0.0.3 www.pizdato.biz
127.0.0.3 pizdato.biz
127.0.0.3 www.aaasexypics.com
127.0.0.3 aaasexypics.com
127.0.0.3 www.virgin-tgp.net
127.0.0.3 virgin-tgp.net

Другие названия

Trojan-Downloader.Win32.Small.yt («Лаборатория Касперского») также известен как: TrojanDownloader.Win32.Small.yt («Лаборатория Касперского»), Downloader.Trojan (Symantec), Trojan.DownLoader.1070 (Doctor Web), TROJ_SMALL.YT (Trend Micro), Win32:Trojano-536 (ALWIL), Downloader.Small.13.V (Grisoft), Trojan.Downloader.Small.YT (SOFTWIN), Trojan.Qhost.O (ClamAV), Trj/Harnig.AB (Panda), Win32/TrojanDownloader.Harnig.NAD (Eset)