Security Lab

Trojan-Downloader.VBS. Small.ev

Trojan-Downloader.VBS. Small.ev

Троянская программа, которая без ведома пользователя загружает из сети Интернет другие файлы и запускает их на исполнение.

Троянская программа, которая без ведома пользователя загружает из сети Интернет другие файлы и запускает их на исполнение. Является html-страницей, содержащей сценарии языков Visual Basic Script и Java Script. Имеет размер 2109 байт.

Деструктивная активность

После активации троянец производит расшифровку и внедрение своего кода в память процесса, имеющего следующий уникальный идентификатор в системном реестре:

  {BD96C556-65A3-11D0-983A-00C04FC29E36}

Используя уязвимость в ActiveX-компоненте «XMLHTTP», троянец загружает файл со следующего URL:

  http://cool*****55.com/vvv/rss.dll

На момент создания описания по данной ссылке скачивался файл размером 5120 байт, детектирующийся Антивирусом Касперского как Trojan-PSW.Win32.OnLineGames.ccd.

Используя уязвимость в ActiveX-компоненте «ADODB.Stream», троянец сохраняет скачанный файл в корневой каталог Windows под двумя именами:

%WinDir%\WinHttp.dll
%WinDir%\KB726255.log

Также троянец создает следующие значения параметров реестра:

  [HKLM\Software\Classes\CLSID\{36CD708B-6077-4C02-9377-D73EAA495A0F}]
  "(default)" = "HTTP Execute Hooks"
  
  [HKLM\Software\Classes\CLSID\{36CD708B-6077-4C02-9377-D73EAA495A0F}\InprocServer32]
  "(default)" = "%WinDir%\WinHttp.dll"
  
  [HKLM\Software\Classes\CLSID\{36CD708B-6077-4C02-9377-D73EAA495A0F}\InprocServer32]
  "ThreadingModel" = "Apartment"
  
  HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\
  {36CD708B-6077-4C02-9377-D73EAA495A0F}]
  "(default)" = ""

Домашний Wi-Fi – ваша крепость или картонный домик?

Узнайте, как построить неприступную стену