Trojan-Dropper.Win32. Small.czj

Троянская программа, устанавливающая другие программы на компьютере пользователя без его ведома. Является приложением Windows (PE EXE-файл). Имеет размер 21504 байта. Написана на C++.

Инсталляция

При запуске троянец перемещает файл «%WinDir%\Fonts\wuauclt.exe» и сохраняет его под именем:

c:\ss.tmp

Далее копирует свой исполняемый файл под именем:

%WinDir%\Fonts\wuauclt.exe

Для автоматического запуска при каждом следующем старте системы троянец добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:

[HKLM\Software\Microsoft\Windows\CurrentVersion\policies\explorer\run]
"360safe" = "%WinDir%\Fonts\wuauclt.exe"

Деструктивная активность

Троянец выполняет следующие действия:

* изменяет значения следующих ключей системного реестра:

      [HKCU\Software\Microsoft\Internet Explorer\Main]
      "Start Page" = "http://www2.07129.com/"

      [HKCR\CLSID\{871C5380-42A0-1069-A2EA-
      08002B30309D}\shell\OpenHomePage\Command]
      "(Default)" = ""C:\Program Files\Internet Explorer\iexplore.exe" www2.07129.com"

      [HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel]
      "Homepage" = "1" 

Это приводит к изменению стартовой и домашней страницы Internet Explorer на «http://www2.07129.com/» .

* извлекает из своего тела файл и сохраняет его под именем:

      %WinDir%\Downloaded Program Files\alg.exe

Данный файл имеет размер 3740 байт и детектируется Антивирусом Касперского как Exploit.Win32.IMG-WMF.fk

* запускает созданный файл с параметром «http://***wuc8.com/aa.exe»

* извлекает из своего тела файл и сохраняет его под следующим именем, после чего запускает на исполнение:

      %WinDir%\Fonts\TIMPIatform.exe

Данный файл имеет размер 12288 байт и детектируется Антивирусом Касперского как Trojan-Downloader.Win32.Agent.bpeh

Кроме того каждые 25 минут троянец открывает в окне Internet Explorer ссылки:

http://joke.lia***9.com/
http://msm.moneyinf***.com/