Trojan-Dropper.Win32. Small.bbs

Троянец, который устанавливает и запускает другое программное обеспечение на зараженном компьютере без ведома пользователя.

Троянец, который устанавливает и запускает другое программное обеспечение на зараженном компьютере без ведома пользователя. Является приложением Windows (PE EXE-файл). Имеет размер 64000 байт.

Деструктивная активность

Троянец расшифровывает и извлекает из своего тела в системный каталог Windows файл размером 46080 байт. Имя файла выбирается произвольным образом из следующего списка:

nptotect.exe
alg.exe
peverify.exe
makehm.exe
dw.exe
mc.exe
undname.exe
mdm.exe
ranlib.exe
vmwareeufad.exe
vnetlib.exe
vnetstats.exe
deviceemulator.exe
sevinst.exe
ccapp.exe
windres.exe
res2coff.exe
objcopy.exe
gcc.exe
gcc.exe
dllwrap.exe
ccc.exe
hypertrm.exe
uedit32.exe
regwiz.exe
wabmig.exe
navw32.exe
conf.exe
actcontroller.exe
umdh.exe
kdbgctrl.exe
i386kd.exe
cdb.exe
breakin.exe
7z.exe
alunotify.exe
lsetup.exe
ndetect.exe
symantecroot.exe
luinit.exe
idaw64.exe
idag.exe
ia64kd.exe
pdbcopy.exe
symstore.exe
symchk.exe
hhupd.exe
hhw.exe
flash.exe
codeblocks.exe

Созданный файл детектируется Антивирусом Касперского как Email-Worm.Win32.Mydoom.bj.

Также троянец прописывает распакованный файл в ключ автозагрузки, добавляя его имя в конец ключа реестра:

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"

Затем файл запускается на исполнение.

Также троянец запускает на исполнение файл из своей рабочей папки — «%WorkDir%\TestPolymorph.exe» (в случае его наличия) и завершает свою работу.