Trojan-Downloader.Win32.Harnig.al
Троянская программа, загружающая из интернета другие файлы. Является приложением Windows (PE EXE-файл), имеет размер около 4КБ, упакована UPX. Размер распакованного файла около 10КБ.
Троянская программа, загружающая из интернета другие файлы. Является приложением Windows (PE EXE-файл), имеет размер около 4КБ, упакована UPX. Размер распакованного файла около 10КБ.
Имеет функцию загрузки файлов из интернета и запуска их на компьютере пользователя. Троянец может загружать и сохранять в системном или корневом каталоге Windows следующие файлы:
* dktibs.exe
* mstasks1.exe
* mstasks2.exe
* mstasks3.exe
* systime.exe
* test
* toolbar.exe Harnig.al завершает процессы, содержащие в именах строки:
* actalert.exe
* alchem.exe
* bargains.exe
* bdl74125.exe
* bitmap.tmp
* exdl.exe
* exploit.exe
* file.exe
* fnnmqi.exe
* fucker.exe
* host32.exe
* iinstall.exe
* Installer2.exe
* intron.exe
* intronet.exe
* ir.exe
* istsvc.exe
* loadclean.exe
* lpt.exe
* msxmidi.exe
* optimize.exe
* PEPEmsPE.exe
* powerscan.exe
* printer.exe
* printer32.exe
* services.exe
* sidefind.exe
* s-PEPE.exe
* telnet.exe
* teur.exe
* ttgkirnl.exe
* twink64.exe
* usb.exe
* Winad.exe
* WinClt.exe
* winmm64.exe
* ykyrtws.exe Троянец изменяет файл %System%\drivers\etc\hosts, дописывая в него нижеприведенный текст и, тем самым, перенаправляя обращения к данным сайтам на 127.0.0.3:
127.0.0.3 aaasexypics.com 127.0.0.3 allforadult.com 127.0.0.3 autoescrowpay.com 127.0.0.3 awmdabest.com 127.0.0.3 counter.sexmaniack.com 127.0.0.3 iframe.biz 127.0.0.3 newiframe.biz 127.0.0.3 n-glx.s-redirect.com 127.0.0.3 pizdato.biz 127.0.0.3 sexfiles.nu 127.0.0.3 vesbiz.biz 127.0.0.3 virgin-tgp.net 127.0.0.3 www.aaasexypics.com 127.0.0.3 www.allforadult.com 127.0.0.3 www.autoescrowpay.com 127.0.0.3 www.awmdabest.com 127.0.0.3 www.iframe.biz 127.0.0.3 www.newiframe.biz 127.0.0.3 www.pizdato.biz 127.0.0.3 www.sexfiles.nu 127.0.0.3 www.vesbiz.biz 127.0.0.3 www.virgin-tgp.net 127.0.0.3 x.full-tgp.net