Trojan-Downloader.Win32.Small.yx
Троянская программа представляет собой Windows PE EXE-файл. Имеет размер около 3 КБ. Упакована FSG. Размер распакованного файла - около 12 КБ.
Троянская программа представляет собой Windows PE EXE-файл. Имеет размер около 3 КБ. Упакована FSG. Размер распакованного файла - около 12 КБ.
Троянская программа имеет функцию загрузки других файлов из интернета и запуска их на компьютере пользователя. С удаленного сервера в интернете загружаются следующие файлы:
dktibs.exe mstask1.exe mstask2.exe mstask3.exe systime.exe test toolbar.exe
После чего копируются в системный и корневой каталоги Windows и запускаются на исполнение.
Также троянец изменяет файл %System%\drivers\etc\hosts, дописывая в него нижеприведенный текст и, тем самым, блокируя обращения к данным сайтам:
127.0.0.3 aaasexypics.com 127.0.0.3 allforadult.com 127.0.0.3 autoescrowpay.com 127.0.0.3 awmdabest.com 127.0.0.3 counter.sexmaniack.com 127.0.0.3 iframe.biz 127.0.0.3 newiframe.biz 127.0.0.3 n-glx.s-redirect.com 127.0.0.3 pizdato.biz 127.0.0.3 sexfiles.nu 127.0.0.3 vesbiz.biz 127.0.0.3 virgin-tgp.net 127.0.0.3 www.aaasexypics.com 127.0.0.3 www.allforadult.com 127.0.0.3 www.autoescrowpay.com 127.0.0.3 www.awmdabest.com 127.0.0.3 www.iframe.biz 127.0.0.3 www.newiframe.biz 127.0.0.3 www.pizdato.biz 127.0.0.3 www.sexfiles.nu 127.0.0.3 www.vesbiz.biz 127.0.0.3 www.virgin-tgp.net 127.0.0.3 x.full-tgp.net
Small.yx выгружает из системы процессы, содержащие в именах следующие строки:
actalert.exe alchem.exe bargains.exe bdl74125.exe bitmap.tmp exdl.exe exploit.exe file.exe fnnmqi.exe fucker.exe host32.exe iinstall.exe Installer2.exe intron.exe intronet.exe ir.exe istsvc.exe loadclean.exe lpt.exe msxmidi.exe optimize.exe PEPEmsPE.exe powerscan.exe printer.exe printer32.exe services.exe sidefind.exe s-PEPE.exe telnet.exe teur.exe ttgkirnl.exe twink64.exe usb.exe Winad.exe WinClt.exe winmm64.exe ykyrtws.exe
Тени в интернете всегда следят за вами