Trojan-Downloader.Win32. Sandesa.15

Троянская программа — генератор троянского программного обеспечения.

Является приложением Windows (PE EXE-файл). Размер зараженного файла — 299008 байт. Упакована UPX. Размер распакованного файла — около 645 КБ. Написана на языке Borland Delphi.

Деструктивная активность

После запуска троянской программы на экране появляется следующее диалоговое окно конфигурирования загрузчика.

* В поле «Download File From:» указывается адрес загружаемого файла.

* В поле «Save To:" – куда сохранять скачанный файл, и под каким именем.

* В поле «ICQ Number (for notification):» — номер ICQ пользователя для отсылки уведомления о загрузке указанного файла.

Также можно установить флаг «Execute Hidden?», тем самым указав, что сконфигурированный файл необходимо запустить сразу после его генерации.

Во время генерации загрузчика запускается упаковщик FSG.

При запуске сгенерированного загрузчика создается файл C:\temp3826.html. Данный файл содержит VBScript, который отсылает ICQ сообщение:

 
From: JN
Mail: m@e.com
Subject: Sandesa v1.5
Body: Sandesa v1.5 OnLine

После чего созданный троянец скачивает из интернета по указанному URL файл и сохраняет его с указанным в программе-генераторе именем на компьютере пользователя.

После этого файл C:\temp3826.html удаляется.

Программа-генератор содержит следующие строки:

Sandesa v1.5
Smallest FWB web-downloader around
Coded by jaNooNi
http://www.sin***.com
http://www.jan***i.com

Другие названия

Trojan-Downloader.Win32.Sandesa.15 («Лаборатория Касперского») также известен как: TrojanDownloader.Win32.Sandesa.15 («Лаборатория Касперского»), Downloader-CC.cfg (McAfee), Downloader (Symantec), Trojan.Sandesa.15 (Doctor Web), Troj/DownLdr-DB (Sophos), TrojanDownloader:Win32/Sandesa.1_5 (RAV), TROJ_SANDESA.15 (Trend Micro), TR/Dldr.Sandesa.18 (H+BEDV), Win32:Trojan-gen. (ALWIL), Downloader.Sandesa.D (Grisoft), Trojan.Downloader.Sandesa.1.5 (SOFTWIN), Trojan.Downloader.W32.Sandesa.15 (ClamAV), Trojan Horse (Panda), Win32/TrojanDownloader.Sandesa.15 (Eset)