Trojan-Downloader. Win32.IMCdown

Троянская программа, загружающая из интернета файлы без ведома пользователя.

Является приложением Windows (PE EXE-файл). Написана на Borland C++. Состоит из нескольких компонентов:

    * CLIENT.EXE — 57344 байт
    * SERVER.EXE — 65024 байт
    * X.EXE — 4096 байт

Деструктивная активность

Троянская программа (X.EXE) устанавливает ТСP-соединение с узлом 116.116.199.216:62324 (216.216.216.216:55512). Если соединение не было установлено в течении 30 секунд, троянец завершает свой процесс. В противном случае вредонос создает в текущей директории файл с именем anyfile.exe, записывает в него загруженные данные, после чего запускает созданный файл на исполнение. При этом сам загрузчик завершает свою работу.

Для загрузки использует ZFTP-сервер, работающий через порт 12345. При запуске клиента (СLIENT.EXE) посылается широковещательный запрос, проверяющий порт 12345. Если в качестве параметров командной строки клиента указан адрес компьютера, где установлен сервер (SERVER.EXE), то с ним устанавливается соединение на указанный порт. После чего происходит загрузка файлов с сервера.

Другие названия

Trojan-Downloader.Win32.IMCdown («Лаборатория Касперского») также известен как: TrojanDownloader.Win32.IMCdown («Лаборатория Касперского»), Downloader-Q (McAfee), Backdoor.Trojan (Symantec), Trojan.Imc (Doctor Web), Troj/DownLdr-Q (Sophos), TrojanDownloader:Win32/IMCdown (RAV), BKDR_DOWNLOAD.Q (Trend Micro), TR/IMC.3 (H+BEDV), Win32:Trojan-gen. (ALWIL), Downloader.Imcdown (Grisoft), Trojan.Downloader.Imcdown.B (SOFTWIN), Trj/W32.IMCdown (Panda), Win32/TrojanDownloader.IMCdown (Eset)