Security Lab

Trojan-Downloader. Win32.Apher.b

Trojan-Downloader. Win32.Apher.b

Троянская программа — генератор троянского программного обеспечения.

Троянская программа — генератор троянского программного обеспечения.

Является приложением Windows (PE EXE-файл). Размер зараженного файла 224768 байт. Упакована UPX. Размер распакованного файла около 451 КБ. Написана на языке Delphi.

Деструктивная активность

После запуска троянской программы на экране появляется окно. При нажатии на кнопку «generate» программа выполняет следующие действия:

1. Извлекает из своего тела 2 файла: Packer.exe (54262 байта) и Unpacked.exe (1024 байта) и сохраняет их в свой текущий каталог.

2. Записывает в файл Unpacked.exe по смещению 582 строку, введенную пользователем в поле ввода URL, расположенном в верхней части окна программы, при этом добавляя нулевой байт в конце.

3. После этого создает и запускает на исполнение файл pack.bat в своем рабочем каталоге со следующим содержанием:

      @del server.exe
      @packer unpacked.exe server.com
      @del packer.exe
      @del unpacked.exe
      @rename server.com Server.exe
      @del pack.bat

В результате выполнения pack.bat в рабочем каталоге создается файл server.exe, который является сгенерированным троянским загрузчиком. При этом файлы packer.exe, unpacked.exe и pack.bat удаляются.

После запуска server.exe в текущем каталоге создается и запускается на исполнение файл 0.exe размером 1024 байт, который в свою очередь скачивает из интернета по указанному в программе-генераторе URL файл и сохраняет его в своем рабочем каталоге с именем 1.exe. Если файл будет успешно закачен, то программа запустит его на выполнение без ведома пользователя.

Другие названия

Trojan-Downloader.Win32.Apher.b («Лаборатория Касперского») также известен как: TrojanDownloader.Win32.Apher.b («Лаборатория Касперского»), Downloader-AE.cfg (McAfee), Trojan Generator (Symantec), Trojan.Aphex.70 (Doctor Web), Troj/WebDL (Sophos), TrojanDownloader:Win32/Apher.B (RAV), TROJ_APHEX.070 (Trend Micro), Win32:Trojan-gen. (ALWIL), Downloader.Apher (Grisoft), TrojanDownloader.Win32.Apher.B (SOFTWIN), Trojan Horse.LC (Panda), Win32/TrojanDownloader.Apher.B (Eset)

Не ждите, пока хакеры вас взломают - подпишитесь на наш канал и станьте неприступной крепостью!

Подписаться

Новости по теме

Вирус OfflRouter уже почти 10 лет остаётся незамеченным в правительственных сетях Украины

Взлом ООН: 8Base наносит мощный удар по борцам с неравенством

Kapeka: новый шпионский инструмент Sandworm атакует Европу

Первый воздушный бой между ИИ и человеком показали в США

Брешь в Cisco IMC: когда хакеры становятся администраторами за пару минут

ФБР объявила охоту на владельца ботнет-сети из Молдовы

Защита данных по-новому: российские IT-компании внедряют единый стандарт безопасности

Интернет-изгои: SpaceX отключает Starlink в «серых» зонах, оставляя миллионы людей без связи

Там, где рождаются кибервымогатели: Sophos исследовала колыбель зла в даркнете