Trojan-Downloader.Win32. Tiny.ia

Троянская программа, открывающая Интернет страницы в браузере без ведома пользователя.

Технические детали

Троянская программа, открывающая Интернет страницы в браузере без ведома пользователя. Является приложением Windows (PE-EXE файл). Имеет размер 3213 байт. Упакована FSG. Распакованный размер – около 29 КБ. Написана на C++.

Инсталляция

После запуска троянец копирует свое тело в следующий файл:

%System%\msscmc36.exe
После этого троянец завершает свою работу.

Деструктивная активность

После запуска троянец выполняет следующие действия:

  • создает ключи системного реестра:
    [HKCU\Software\Microsoft\Windows\CurrentVersion\Run] "Microsoft Visual Control" = "%System%\msscmc36.exe"
    Это приводит к автоматическому запуску копии троянца при каждом следующем старте системы.
    [HKLM\System\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\
    StandardProfile\GloballyOpenPorts\List] "23203:TCP" = "23203:TCP:*:Enabled:BND"
    Таким образом, порт 23203 записывается в список исключений брандмауэра Windows.
  • Запускает процесс
    %Program Files%\Internet Explorer\iexplore.exe
    и внедряет в его адресное пространство код, выполняющий в бесконечном цикле обращение по следующей ссылке:
    http://www.google.com?action=log&loc=&user=<Имя пользователя>&cn=<Системная локаль>&port=23203
После этого троянец завершает свою работу.