Троянская программа, загружающая файлы из сети Интернет без ведома пользователя и запускающая их.
Троянская программа, загружающая файлы из сети Интернет без ведома пользователя и запускающая их. Является приложением Windows (PE-EXE файл). Имеет размер 58880 байт. Написана на C++.
После запуска троянец проверяет наличие в системном реестре следующих ключей:
[HKCU\Software\AntivirusXP]Если ключи существуют, то троянец завершает свою работу.
"Key"
[HKCU\Software\RealAV]
"Key"
[HKLM\Software\AntivirusXP]
"Key"
[HKCU\Software\AVR]
"KEY"
[HKLM\Software\AVR]
"KEY"
В противном случае, троянец выполняет следующие действия:
%System%\winupdate.exe
%System%\winupdate.exe
После запуска троянец выполняет следующие действия:
%System%\critical_warning.html
%System%\critical_warning.htmlФайл имеет размер 831 байт, и представляет собой HTML-страницу следующего вида:
[HKCU\Software\Microsoft\Internet Explorer\Desktop\General]
"TileWallpaper" = "0"
"WallpaperStyle" = "2"
"Wallpaper" = "%System%\critical_warning.html"
"WallpaperFileTime" = "00 98 50 FC 35 A4 C6 01"
"WallpaperLocalFileTime" = "00 D0 9D 21 4F A4 C6 01"
[HKCU\Control Panel\Desktop]
"TileWallpaper" = "0"
"WallpaperStyle" = "2"
http://do****vr6.com/dfghfghgfj.dllЗагруженные файлы сохраняются в системе как
http://do****vr6.com/cgi-bin/download.pl?code=
%System%\winhelper.dll(На момент создания описания загружался файл размером 22528 байт; детектируется Антивирусом Касперского как "Trojan-Ransom.Win32.Agent.jc")
%System%\AVR09.exe(На момент создания описания загружался файл размером 1172480 байт; детектируется Антивирусом Касперского как "Trojan.Win32.FraudPack.acik")
/s %System%\winhelper.dllЭто приводит к запуску исполняемого кода загруженной ранее библиотеки "%System%\winhelper.dll".
http://ad******er-2009.com/buy/?code=В отдельном потоке в бесконечном цикле выгружает из системной памяти следующие процессы:
AcroRd32.exe
rstrui.exe
CloneCD.exe
cmd.exe
digitaleditions.exe
freecell.exe
FullTiltPoker.exe
GOM.exe
hrtzzm.exe
Icq.exe
Illustrator.exe
miranda32.exe
moviemk.exe
mplay32.exe
mplayer2.exe
mshearts.exe
msimn.exe
msmsgs.exe
mspaint.exe
MSWorks.exe
Nero.exe
NeroExpressPortable.exe
nfs.exe
OIS.exe
OUTLOOK.exe
Photoshop.exe
pinball.exe
PokerStars.exe
POWERPNT.exe
realplay.exe
RecordingManager.exe
RegCloneCD.exe
regedit.exe
RwcRun.exe
RWipeRun.exe
shvlzm.exe
skypePM.exe
RealPlayer.exe
POWERPOI.exe
word.exe
EXCEL.exe
MsnMsgr.Exe
chrome.exe
GoogleEarth.exe
wupdmgr.exe
Skype.exe
sndvol32.exe
sol.exe
setup_wm.exe
spider.exe
taskmgr.exe
thebat.exe
msconfig.exe
uTorrent.exe
vmware.exe
winmine.exe
WinRAR.exe
WINWORD.exe
control.exe
notepad.exe
calc.exe
wmplayer.exe
%System%\AVR09.exe
http://te****wn.com/cgi-bin/get.pl?l=(На момент создания описания ссылка не работала)
%System%\<rnd>.exeгде <rnd> – случайное десятичное число.
После успешной загрузки файлы запускаются на выполнение.