Trojan-Downloader.Win32. FraudLoad.xfaj

Троянская программа, которая без ведома пользователя скачивает на компьютер другое программное обеспечение. Программа является приложением Windows (PE EXE-файл).

Троянская программа, которая без ведома пользователя скачивает на компьютер другое программное обеспечение. Программа является приложением Windows (PE EXE-файл). Имеет размер 18688 байт. Упакована неизвестным упаковщиком. Распакованный размер – около 30 КБ. Написана на C++.


Деструктивная активность

После запуска троянец выполняет следующие действия:

  • проверяет локализацию системы, если она совпадает с одной из следующих, то троянец завершает свою работу:
    Azerbaijan
    Belarus
    Kazakhstan
    Kyrgyzstan
    Russia
    Uzbekistan
    Ukraine
    Czech Republic
    Poland
  • Создает файл с именем "_favdata.dat" по следующему пути:
    %Documents and Settings%\All Users\Favorites\_favdata.dat
    который содержит следующие строки:
    387
    new
  • Создает запись в системном реестре следующего вида:
     [HKCU\Printers\Connections]
    "affid"="387"
    "subid"="new"
  • Загружает файл по одному из следующих адресов:
    http://www.se***tile.com/a/ad
    http://fas***rch.com/a/ad
    http://www.sea***rtile.com/a/ad
    http://fast***search.com/a/ad

На момент создания описания загружался файл, который имел размер 425472 байта и детектировался Антивирусом Касперского как Trojan.Win32.TDSS.biia.

Загруженный файл сохранялся во временном каталоге текущего пользователя под именем:

%Temp%\TMP<rnd1>.tmp

где <rnd1> - случайная цифровая последовательность.

  • Создает копию загруженного файла с расширением ".exe":
    %Temp%\TMP<rnd1>.exe

После чего запускает созданную копию на выполнение.

По окончанию своей работы троянец удаляет свой оригинальный файл.