Security Lab

Trojan-Downloader.Win32. Zanoza.ey

Trojan-Downloader.Win32. Zanoza.ey

Троянская программа, которая несанкционированно загружает из сети Интернет на компьютер пользователя другие файлы и запускает их на исполнение.

Троянская программа, которая несанкционированно загружает из сети Интернет на компьютер пользователя другие файлы и запускает их на исполнение. Программа является приложением Windows (PE EXE-файл). Имеет размер 1897 байт. Упакована FSG. Распакованный размер — около 14 КБ. Написана на C++.

Деструктивная активность

При запуске троянец запускает системный процесс "svchost.exe", после чего внедряет свой вредоносный код в его адресное пространство. Данный код загружает из сети Интернет четыре файла по следующим ссылкам:

http://www.yvon-publicidad.com/images/images*****
http://www.yvon-publicidad.com/images/images*****
http://www.yvon-publicidad.com/images/images*****
http://www.yvon-publicidad.com/images/images*****

По данным ссылкам могут загружаться вредоносные программы следующих семейств:

Email-Worm.Win32.Bagle
Trojan-Downloader.Win32.Agent
Trojan-Downloader.Win32.Bagle
Trojan-Downloader.Win32.Zanoza
Trojan-Proxy.Win32.Daemonize
Trojan-Proxy.Win32.Mitglieder
Trojan-Spy.Win32.Iespy

Скачанные файлы сохраняются в рабочем каталоге троянца под следующими именами соответственно:

%WorkDir%\chkdsk1.exe
%WorkDir%\chkdsk2.exe
%WorkDir%\chkdsk3.exe
%WorkDir%\chkdsk4.exe

После этого троянец запускает созданные файлы, создает в своем рабочем каталоге файл командного интерпретатора, запускает его и завершает свою работу — данный файл удаляет оригинальный файл троянца, скачанные файлы и самоуничтожается.

Большой брат следит за вами, но мы знаем, как остановить его

Подпишитесь на наш канал!