Trojan-Downloader.VBS. Small.ev

Троянская программа, которая без ведома пользователя загружает из сети Интернет другие файлы и запускает их на исполнение.

Троянская программа, которая без ведома пользователя загружает из сети Интернет другие файлы и запускает их на исполнение. Является html-страницей, содержащей сценарии языков Visual Basic Script и Java Script. Имеет размер 2109 байт.

Деструктивная активность

После активации троянец производит расшифровку и внедрение своего кода в память процесса, имеющего следующий уникальный идентификатор в системном реестре:

{BD96C556-65A3-11D0-983A-00C04FC29E36}

Используя уязвимость в ActiveX-компоненте «XMLHTTP», троянец загружает файл со следующего URL:

http://cool*****55.com/vvv/rss.dll

На момент создания описания по данной ссылке скачивался файл размером 5120 байт, детектирующийся Антивирусом Касперского как Trojan-PSW.Win32.OnLineGames.ccd.

Используя уязвимость в ActiveX-компоненте «ADODB.Stream», троянец сохраняет скачанный файл в корневой каталог Windows под двумя именами:

%WinDir%\WinHttp.dll
%WinDir%\KB726255.log

Также троянец создает следующие значения параметров реестра:

[HKLM\Software\Classes\CLSID\{36CD708B-6077-4C02-9377-D73EAA495A0F}]
"(default)" = "HTTP Execute Hooks"

[HKLM\Software\Classes\CLSID\{36CD708B-6077-4C02-9377-D73EAA495A0F}\InprocServer32]
"(default)" = "%WinDir%\WinHttp.dll"

[HKLM\Software\Classes\CLSID\{36CD708B-6077-4C02-9377-D73EAA495A0F}\InprocServer32]
"ThreadingModel" = "Apartment"

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\
{36CD708B-6077-4C02-9377-D73EAA495A0F}]
"(default)" = ""