Trojan-Dropper.Win32. Small.bbs

Троянец, который устанавливает и запускает другое программное обеспечение на зараженном компьютере без ведома пользователя.

Троянец, который устанавливает и запускает другое программное обеспечение на зараженном компьютере без ведома пользователя. Является приложением Windows (PE EXE-файл). Имеет размер 64000 байт.

Деструктивная активность

Троянец расшифровывает и извлекает из своего тела в системный каталог Windows файл размером 46080 байт. Имя файла выбирается произвольным образом из следующего списка:

 nptotect.exe
 alg.exe
 peverify.exe
 makehm.exe
 dw.exe
 mc.exe
 undname.exe
 mdm.exe
 ranlib.exe
 vmwareeufad.exe
 vnetlib.exe
 vnetstats.exe
 deviceemulator.exe
 sevinst.exe
 ccapp.exe
 windres.exe
 res2coff.exe
 objcopy.exe
 gcc.exe
 gcc.exe
 dllwrap.exe
 ccc.exe
 hypertrm.exe
 uedit32.exe
 regwiz.exe
 wabmig.exe
 navw32.exe
 conf.exe
 actcontroller.exe
 umdh.exe
 kdbgctrl.exe
 i386kd.exe
 cdb.exe
 breakin.exe
 7z.exe
 alunotify.exe
 lsetup.exe
 ndetect.exe
 symantecroot.exe
 luinit.exe
 idaw64.exe
 idag.exe
 ia64kd.exe
 pdbcopy.exe
 symstore.exe
 symchk.exe
 hhupd.exe
 hhw.exe
 flash.exe
 codeblocks.exe

Созданный файл детектируется Антивирусом Касперского как Email-Worm.Win32.Mydoom.bj.

Также троянец прописывает распакованный файл в ключ автозагрузки, добавляя его имя в конец ключа реестра:

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"

Затем файл запускается на исполнение.

Также троянец запускает на исполнение файл из своей рабочей папки — «%WorkDir%\TestPolymorph.exe» (в случае его наличия) и завершает свою работу.

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.