Trojan-Downloader.Win32. Small.fxa

Троянская программа, которая без ведома пользователя скачивает на компьютер другое программное обеспечение и запускает его на исполнение.

Троянская программа, которая без ведома пользователя скачивает на компьютер другое программное обеспечение и запускает его на исполнение. Является приложением Windows (PE EXE-файл). Имеет размер 24576 байт. Ничем не упакована. Написана на Visual C++.

Инсталляция

При запуске троянец инсталлирует в системный каталог Windows файл драйвера со следующим именем:

%System%\nso12k.sys

Данный файл имеет размер 4383 байта и детектируется Антивирусом Касперского как Rootkit.Win32.Agent.jq.

Также троянец добавляет в системный реестр следующий ключ:

[HKLM\System\CurrentControlSet\Services\Driver]
"ImagePath" = "%System%\nso12k.sys"

Затем копирует свой исполняемый файл в системный каталог Windows под именем «cssrss.exe»:

%System%\cssrss.exe

Для автоматического запуска при каждом последующем старте системы троянец добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"WMDM PMSP Service" = "%System%\cssrss.exe"

Деструктивная активность

Используя установленный драйвер, троянская программа имеет возможность фильтровать интернет-трафик пользователя, работая в качестве IP Filter Driver. Для этого троянец использует функционал объектов в «ntoskrnl.exe» и «ndis.sys». Также драйвер обеспечивает сокрытие самого файла троянца в системе.

Работая в резидентном режиме и имея доступ в Интернет, троянец взаимодействует с удаленным сервером злоумышленника, производя несанкционированную загрузку на компьютер пользователя вредоносных программ.

Троянец открывает следующую ссылку, передавая в качестве параметра тип операционной системы пользователя:

http://***.***.27.120/~stopna/ing/knock.php?win=

(На момент создания описания ссылка не работала.)

Загруженный троянцем файл сохраняется под следующим именем:

%Temp%\sdasdadsad.exe