Trojan-Downloader. Win32.Apher.b

Троянская программа — генератор троянского программного обеспечения.

Троянская программа — генератор троянского программного обеспечения.

Является приложением Windows (PE EXE-файл). Размер зараженного файла 224768 байт. Упакована UPX. Размер распакованного файла около 451 КБ. Написана на языке Delphi.

Деструктивная активность

После запуска троянской программы на экране появляется окно. При нажатии на кнопку «generate» программа выполняет следующие действия:

1. Извлекает из своего тела 2 файла: Packer.exe (54262 байта) и Unpacked.exe (1024 байта) и сохраняет их в свой текущий каталог.

2. Записывает в файл Unpacked.exe по смещению 582 строку, введенную пользователем в поле ввода URL, расположенном в верхней части окна программы, при этом добавляя нулевой байт в конце.

3. После этого создает и запускает на исполнение файл pack.bat в своем рабочем каталоге со следующим содержанием:

      @del server.exe
@packer unpacked.exe server.com
@del packer.exe
@del unpacked.exe
@rename server.com Server.exe
@del pack.bat

В результате выполнения pack.bat в рабочем каталоге создается файл server.exe, который является сгенерированным троянским загрузчиком. При этом файлы packer.exe, unpacked.exe и pack.bat удаляются.

После запуска server.exe в текущем каталоге создается и запускается на исполнение файл 0.exe размером 1024 байт, который в свою очередь скачивает из интернета по указанному в программе-генераторе URL файл и сохраняет его в своем рабочем каталоге с именем 1.exe. Если файл будет успешно закачен, то программа запустит его на выполнение без ведома пользователя.

Другие названия

Trojan-Downloader.Win32.Apher.b («Лаборатория Касперского») также известен как: TrojanDownloader.Win32.Apher.b («Лаборатория Касперского»), Downloader-AE.cfg (McAfee), Trojan Generator (Symantec), Trojan.Aphex.70 (Doctor Web), Troj/WebDL (Sophos), TrojanDownloader:Win32/Apher.B (RAV), TROJ_APHEX.070 (Trend Micro), Win32:Trojan-gen. (ALWIL), Downloader.Apher (Grisoft), TrojanDownloader.Win32.Apher.B (SOFTWIN), Trojan Horse.LC (Panda), Win32/TrojanDownloader.Apher.B (Eset)