Trojan-Downloader.Win32. FraudLoad.xfms

Троянская программа, устанавливающая другие программы на компьютере пользователя без его ведома. Является приложением Windows (PE-EXE файл).

Троянская программа, устанавливающая другие программы на компьютере пользователя без его ведома. Является приложением Windows (PE-EXE файл). Имеет размер 27136 байт. Написана на C++.


Деструктивная активность

После запуска троянец выполняет следующие действия:

  • извлекает из своего тела файл, который сохраняется в каталоге хранения временных файлов текущего пользователя под случайным именем:
    %Temp%\<rnd>.vbs (3291 байт)
    где <rnd> – случайное восьмизначное шестнадцатеричное число (например: "4cc57c8a").
  • Запускает извлеченный файл при помощи системного командного интерпретатора:
    cmd.exe /c %Temp%\<rnd>.vbs
  • Для удаления своего оригинального файла после завершения его работы запускает системный командный интерпретатор с параметрами:
    /c del <полный путь к оригинальному файлу троянца> > nul
    После этого троянец завершает свою работу.

    Извлеченный троянцем файл является VBS-скриптом, реализующим функционал загрузчика. После запуска данный файл, используя уязвимость в ActiveX компоненте "XMLHTTP", загружает из сети Интернет файл по следующей ссылке:

    http://the*sat.info/PCDefenderSilentSetup.msi 
    (на момент создания описания ссылка не работала)
    Благодаря уязвимости в ActiveX компоненте "ADODB.Stream" загруженный файл сохраняется в каталоге "My Documents" текущего пользователя под случайным именем:
    %USERPROFILE%\My Documents\<rnd>\<rnd>.msi
    Далее загруженный файл запускается на выполнение. Данный файл при следующем старте системы будет удален вместе со своим родительским каталогом. Для этого создается ключ системного реестра:
    [HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce]
    "delpcdefmsi" = "cmd /c rmdir /s /q "%USERPROFILE%\My Documents\<rnd>""