Trojan-Downloader.Win32. Agent.dmya

Троянская программа, загружающая файлы из сети Интернет без ведома пользователя и запускающая их.

Троянская программа, загружающая файлы из сети Интернет без ведома пользователя и запускающая их. Является приложением Windows (PE-EXE файл). Имеет размер 7213 байт. Упакована FSG. Распакованный размер – около 53 КБ. Написана на Visual Basic.


Деструктивная активность

После запуска троянец выполняет следующие действия:

  • загружает из сети Интернет файлы по следующим ссылкам:
    http://admi***00.org/img/T1gANoXmXwXXcGRBI1_1001.gif
    http://admi***00.org/img/T1gANoXmXwXXcGRBI1_1002.gif
    http://admi***00.org/img/T1gANoXmXwXXcGRBI1_1003.gif
    http://admi***00.org/img/T1gANoXmXwXXcGRBI1_1004.gif
    http://admi***00.org/img/T1gANoXmXwXXcGRBI1_1005.gif
    http://admi***00.org/img/T1gANoXmXwXXcGRBI1_1006.gif
    http://admi***00.org/img/T1gANoXmXwXXcGRBI1_1007.gif
    http://admi***00.org/img/T1gANoXmXwXXcGRBI1_1008.gif
    http://admi***00.org/img/T1gANoXmXwXXcGRBI1_1009.gif
    http://admi***00.org/img/T1gANoXmXwXXcGRBI1_1010.gif
    Загруженные файлы сохраняются в системе соответственно как
    %WinDir%\1001.exe
    (На момент создания описания загружался файл размером 29200 байт; детектируется Антивирусом Касперского как "Trojan-Downloader.Win32.Delf.xnh")
    %WinDir%\1002.exe
    (На момент создания описания загружался файл размером 82185 байт; детектируется Антивирусом Касперского как "Trojan.Win32.Agent.drre")
    %WinDir%\1003.exe
    (На момент создания описания загружался файл размером 73728 байт; детектируется Антивирусом Касперского как "Trojan-Downloader.Win32.Adload.qjn")
    %WinDir%\1004.exe
    (На момент создания описания загружался файл размером 30709 байт)
    %WinDir%\1005.exe
    (На момент создания описания загружался файл размером 188416 байт)
    %WinDir%\1006.exe
    (На момент создания описания файл не загружался)
    %WinDir%\1007.exe
    (На момент создания описания файл не загружался)
    %WinDir%\1008.exe
    (На момент создания описания файл не загружался)

    %WinDir%\1009.exe (На момент создания описания файл не загружался)

    %WinDir%\1010.exe
    (На момент создания описания файл не загружался) После успешной загрузки файлы запускаются на выполнение.
  • Открывает в браузере Internet Explorer следующий сайт:
    http://www.fx***9.cn/img/gg.htm?31
  • Извлекает из своего тела файл, который сохраняется в системе под следующим именем:
    %WinDir%\46.bat (7288 байт)
    и запускает его на выполнение.
После этого троянец завершает свою работу.

Запуск файла "%WinDir%\46.bat" приводит к следующим последствиям:

  • в браузере Internet Explorer открываются сайты:
    http://www.fx***9.cn/img/tc.htm?31
    http://www.2***h.com/?31tc
  • Создается ключ системного реестра:
    [HKCU\Software\Microsoft\Internet Explorer\Main]
    "Start Page" = "http://www.2***h.com/?10031/"
    Таким образом, изменяется стартовая страница браузера Internet Explorer.
  • Создаются ярлыки:
    %USERPROFILE%\Desktop\Explorer.url

    %USERPROFILE%\Application Data\Microsoft\Internet Explorer\Quick
    Launch\Explorer.url
    Ярлыки указывают на URL:
    http://www.2***h.com/?10031/
  • В браузере Internet Explorer открывается ссылка:
    http://www.fx***9.cn/tj/tj.asp?mac=<физический адрес активного
    сетевого адаптера>%&ver=<версия ОС>&userid=31
После завершения выполнения сценарий "%WinDir%\46.bat" самоуничтожается.