Trojan-Downloader. Win32.Small.fzu

Троянская программа. Является приложением Windows (PE-EXE файл). Имеет размер 12402 байта.

Инсталляция

При инсталляции троянец копирует свой исполняемый файл в системный каталог Windows:

%System%\mssrv32.exe

Для автоматического запуска при каждом последующем старте системы троян создает службу с именем «Microsoft security update service».

Деструктивная активность

При запуске троянец внедряет свой код в системный процесс «svchost.exe».

Затем регистрируется на сайте злоумышленника, открывая следующий URL:

  http://testiks*****net.ru/bots/stat.php

При этом в заголовке запроса серверу сообщается версия операционной системы Windows, установленной на компьютере пользователя.

В ответ на этот запрос сервер посылает команды, которые определяют дальнейшие действия троянской программы. Команды могут быть следующими:

* flood — производит «наводнение» указанного сервера большим количеством пакетов. Атака может быть следующих типов:

          o ICMP
          o SYN
          o HTTP
          o UDP

* stop — немедленно отменяет отправку пакетов;

* die — удаляет свой исполняемый файл и службу;

* open — открывает указанную ссылку в Internet Explorer;

* get — скачивает файл по указанной ссылке и запускает его на исполнение. Скачанные файлы сохраняются в папку %Temp% и имеют временные имена.