Trojan-Downloader.Win32. Kaiserdown.10

Троянская программа — генератор троянского программного обеспечения.

Является приложением Windows (PE EXE-файл). Размер зараженного файла 292864 байта. Упакована UPX. Размер распакованного файла около 1369 КБ. Написана на языке Delphi.

Деструктивная активность

После запуска троянской программы на экране появляется окно. При нажатии на кнопку «build» программа выполняет следующие действия:

1. Извлекает из своего тела 2 файла (4480 и 66592 байт соответственно):

 

      fsg.exe
      kaos_srv.exe

И сохраняет их в свой рабочий каталог.

2. После этого записывает в файл kaos_srv.exe по смещению 0x4204 строку, введенную пользователем в поле ввода URL, расположенном в верхней части окна программы, при этом добавляя нулевой байт в конце, а так же строку с именем сохраняемого файла по смещению 0x4287.

3. После этого троянская программа выполняет следующую команду в своем рабочем каталоге:

        fsg.exe kaos_srv.exe
  

Файл kaos_srv.exe является приложением Windows (PE EXE-файл). Упакован FSG, распакованный размер — около 28 КБ.

После запуска данный файл выполняет следующие действия:

1. Создает файл (4096 байт) во временном каталоге Windows:

        %Temp%\kpswdl.dll
  

2. Получает значение следующего ключа реестра:

      [HKCR\http\shell\open\command]

3. Использует полученное значение, как командную строку для запуска процесса.

4. В адресном пространстве запущенного процесса создает поток с помощью функции CreateRemoteThread(Inject), в котором производится загрузка файла %Temp%\kpswdl.dll

Файл kpswdl.dll скачивает из интернета по указанному в программе-генераторе URL файл и сохраняет его с указанным в программе-генераторе именем на компьютере пользователя. После успешной загрузки ждет 2 секунды и запускает скачанный файл на исполнение без ведома пользователя.

Другие названия

Trojan-Downloader.Win32.Kaiserdown.10 («Лаборатория Касперского») также известен как: TrojanDownloader.Win32.Kaiserdown.10 («Лаборатория Касперского»), Downloader-BP (McAfee), Downloader.Trojan (Symantec), Trojan.Kaizer.10 (Doctor Web), TrojanDownloader:Win32/Kaiserdown.1_0 (RAV), TROJ_KAISERDO.A (Trend Micro), TR/MultiJoine.B.2 (H+BEDV), Win32:Trojan-gen. (ALWIL), Downloader.Kaiserdown.A (Grisoft), Trojan Horse.LC (Panda), Win32/TrojanDownloader.Kaiserdown.10 (Eset)