Trojan-Dropper.Win32. VB.te

Троянец, который устанавливает и запускает другое программное обеспечение на зараженный компьютер без ведома пользователя.

Троянец, который устанавливает и запускает другое программное обеспечение на зараженный компьютер без ведома пользователя. Является приложением Windows (PE EXE-файл). Имеет размер около 23 КБ.

Инсталляция

При инсталляции троянец копирует свой исполняемый файл следующим образом:

 %Program Files%\Common Files\Microsoft Shared\MSInfo\System36.jup

Деструктивная активность

Троянец извлекает из своего тела следующий файл:

 

%Program Files%\Common Files\Microsoft Shared\MSInfo\System6.ins

Данный файл имеет размер 28250 байт и детектируется Антивирусом Касперского как Trojan-PSW.Win32.QQPass.agn.

Затем троян регистрирует извлеченный файл в системе, создавая следующие ключи реестра:

 [HKCR\CLSID\{37C3125C-9CB6-4503-8F38-63D80ADEFA07}]
 
 [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
 {37C3125C-9CB6-4503-8F38-63D80ADEFA07}
Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.