Trojan-Downloader.Win32. Agent.dmya

Троянская программа, загружающая файлы из сети Интернет без ведома пользователя и запускающая их. Является приложением Windows (PE-EXE файл). Имеет размер 7213 байт. Упакована FSG. Распакованный размер – около 53 КБ. Написана на Visual Basic.

name="doc3">

Деструктивная активность

После запуска троянец выполняет следующие действия:

• загружает из сети Интернет файлы по следующим ссылкам:

  http://admi***00.org/img/T1gANoXmXwXXcGRBI1_1001.gif
  http://admi***00.org/img/T1gANoXmXwXXcGRBI1_1002.gif
  http://admi***00.org/img/T1gANoXmXwXXcGRBI1_1003.gif
  http://admi***00.org/img/T1gANoXmXwXXcGRBI1_1004.gif
  http://admi***00.org/img/T1gANoXmXwXXcGRBI1_1005.gif
  http://admi***00.org/img/T1gANoXmXwXXcGRBI1_1006.gif
  http://admi***00.org/img/T1gANoXmXwXXcGRBI1_1007.gif
  http://admi***00.org/img/T1gANoXmXwXXcGRBI1_1008.gif
  http://admi***00.org/img/T1gANoXmXwXXcGRBI1_1009.gif
  http://admi***00.org/img/T1gANoXmXwXXcGRBI1_1010.gif
  

  Загруженные файлы сохраняются в системе соответственно как

  %WinDir%\1001.exe

  (На момент создания описания загружался файл размером 29200 байт; детектируется Антивирусом Касперского как "Trojan-Downloader.Win32.Delf.xnh")

  %WinDir%\1002.exe

  (На момент создания описания загружался файл размером 82185 байт; детектируется Антивирусом Касперского как "Trojan.Win32.Agent.drre")

  %WinDir%\1003.exe

  (На момент создания описания загружался файл размером 73728 байт; детектируется Антивирусом Касперского как "Trojan-Downloader.Win32.Adload.qjn")

  %WinDir%\1004.exe

  (На момент создания описания загружался файл размером 30709 байт)

  %WinDir%\1005.exe

  (На момент создания описания загружался файл размером 188416 байт)

  %WinDir%\1006.exe

  (На момент создания описания файл не загружался)

  %WinDir%\1007.exe

  (На момент создания описания файл не загружался)

  %WinDir%\1008.exe

  (На момент создания описания файл не загружался)

  %WinDir%\1009.exe (На момент создания описания файл не загружался)

  %WinDir%\1010.exe

  (На момент создания описания файл не загружался) После успешной загрузки файлы запускаются на выполнение.
• Открывает в браузере Internet Explorer следующий сайт:

  http://www.fx***9.cn/img/gg.htm?31

• Извлекает из своего тела файл, который сохраняется в системе под следующим именем:

  %WinDir%\46.bat (7288 байт)

  и запускает его на выполнение.

После этого троянец завершает свою работу.

Запуск файла "%WinDir%\46.bat" приводит к следующим последствиям:

• в браузере Internet Explorer открываются сайты:

  http://www.fx***9.cn/img/tc.htm?31
  http://www.2***h.com/?31tc
  

• Создается ключ системного реестра:

  [HKCU\Software\Microsoft\Internet Explorer\Main]
  "Start Page" = "http://www.2***h.com/?10031/"
  

  Таким образом, изменяется стартовая страница браузера Internet Explorer.
• Создаются ярлыки:

  %USERPROFILE%\Desktop\Explorer.url
  
  %USERPROFILE%\Application Data\Microsoft\Internet Explorer\Quick 
  Launch\Explorer.url
  

  Ярлыки указывают на URL:

  http://www.2***h.com/?10031/

• В браузере Internet Explorer открывается ссылка:

  http://www.fx***9.cn/tj/tj.asp?mac=<физический адрес активного
   сетевого адаптера>%&ver=<версия ОС>&userid=31

После завершения выполнения сценарий "%WinDir%\46.bat" самоуничтожается.