Trojan-Downloader.Win32. Small.ehu

Троянская программа, которая без ведома пользователя загружает на компьютер файлы из сети Интернет и запускает их на исполнение.

Троянская программа, которая без ведома пользователя загружает на компьютер файлы из сети Интернет и запускает их на исполнение. Является приложением Windows (PE EXE-файл). Имеет размер 2269 байт. Упакована при помощи FSG, распакованный размер — около 8 КБ.

Деструктивная активность

При запуске троянец открывает при помощи браузера следующую страницу:

http://www.postcard.ru/

Вирус запускает копию системного процесса «svchost.exe» и внедряет в него свой код, который скачивает файлы, расположенные по ссылкам:

http://www.*****publicidad.com/images/images.php?w=1
http://www.*****publicidad.com/images/images.php?w=2
http://www.*****publicidad.com/images/images.php?w=3
http://www.*****publicidad.com/images/images.php?w=4

Данные файлы сохраняются в рабочей папке вредоносной программы под соответствующими именами:

    * win1ogon.exe — имеет размер 11305 байт, детектируется антивирусом 
Касперского как Trojan-Spy.Win32.Iespy.ag; * mshelper.exe — имеет размер 43008 байт, детектируется антивирусом
Касперского как Trojan-Proxy.Win32.Daemonize.cf; * dxinstall.exe — имеет размер 51200 байт, детектируется антивирусом
Касперского как Email-Worm.Win32.Bagle.is; * msofficer.exe — имеет размер 245760 байт, детектируется антивирусом
Касперского как Backdoor.Win32.Delf.akw.

После успешной загрузки файлы запускаются на исполнение.

По окончании своей работы троянец удаляет свой исполняемый файл.