Security Lab

Trojan-Downloader.Win32. Diehard.di

Trojan-Downloader.Win32. Diehard.di

Троянская программа, которая без ведома пользователя загружает из сети Интернет другие вредоносные программы и запускает их на выполнение.

Троянская программа, которая без ведома пользователя загружает из сети Интернет другие вредоносные программы и запускает их на выполнение. Является приложением Windows (PE EXE-файл). Имеет размер 27648 байт.

Инсталляция

После запуска троянец создает в папке %System%\drivers файл драйвера:

runtime.sys

Данный файл имеет размер 171948 байт и детектируется Антивирусом Касперского Trojan-PSW.Win32.Osmer.f.

Троянец инсталлирует службу с именем "runtime", которая будет загружаться при входе пользователя в систему:

[HKLM\System\CurrentControlSet\Services\runtime]
"ImagePath" = "%System%\drivers\runtime.sys"
"Type" = "dword:0x00000001"
"Start" = "dword:0x00000003"

Для определения своего присутствия в системе троянец создает уникальный идентификатор:

y8w.61T_i0b_Q3f.l4R7

Деструктивная активность

При запуске троянец открывает Internet Explorer и производит запись своего кода в его адресное пространство.

После чего загружает файл по следующей ссылке:

http://207.218.***.**/40e800142......

На момент создания описания по данной ссылке загружался файл размером 91656 байт, содержащий в себе следующие вредоносные файлы:

0.bin

Данный файл имеет размер 32256 байт и детектируется Антивирусом Касперского как Trojan-Dropper.Win32.Agent.dyc. 1.bin

Данный файл имеет размер 25472 байта и детектируется Антивирусом Касперского как Trojan-Downloader.Win32.Agent.ici. 2.bin

Данный файл имеет размер 59392 байта и детектируется Антивирусом Касперского как Email-Worm.Win32.Agent.cg.

После загрузки троянец запускает данные файлы на исполнение и удаляет свой исходный файл.

Данная система используется для построения бот сетей с целью рассылки спам сообщений.

Цифровые следы - ваша слабость, и хакеры это знают.

Подпишитесь и узнайте, как их замести!