Trojan-Downloader.Win32 Small.cof
Троянская программа, загружающая из интернета файлы без ведома пользователя.
Троянская программа, загружающая из интернета файлы без ведома пользователя. Является приложением Windows (PE EXE-файл). Написана на ассемблере. Размер зараженного файла — 12 800 байт.
Инсталляция
При запуске троянец копирует себя в корневой каталог Windows с именем sysvx_.exe:
%WinDir%\sysvx_.exe
Затем регистрирует этот файл в ключе автозапуска системного реестра:
"sysvx"="%WinDir%\sysvx_.exe"
При каждой следующей загрузке Windows автоматически запустит файл-троянец.
Также троянец создает в системном каталоге Windows следующие файлы:
- %System%\comdlg64.dll (4925 байт; детектируется Антивирусом Касперского, как Rootkit.Win32.Agent.bk )
- %System%\sysvx.exe (6028 байт; детектируется Антивирусом Касперского, как Email-Worm.Win32.Locksky.aj )
| name="doc3">Деструктивная активность |
После запуска программа вызывает функцию «hide__» из созданной ей библиотеки comdlg64.dll. В результате троянец перехватывает несколько функций операционной системы. Программа скрывает из списка процессов процессы, в имени exe-файла которых присутствуют строки «sysv», а также значения реестра, имена которых содержат строку «sysv». В результате значение реестра, отвечающее за автозагрузку программы не видно в редакторе реестра, а процессы, соответствующие вредоносной программе становятся не видны в диспетчере задач.
Созданный файл sysvx.exe запускается с параметром командной строки — случайным числом, большим 2000. Данное число является номером TCP-порта, прослушиваемого программой.
Во время выполнения троянец ждёт подключения к интернету. После подключения программа периодически выполняет следующие действия:
- выполняет HTTP-запрос к URL, в параметрах которого передаёт следующие данные:
- уникальный идентификатор компьютера;
- его IP адрес;
- скорость интернета;
- параметры соединения с Интернетом (через модем, локальную сеть, Proxy и т.п.);
- номер порта, на котором программа sysvx.exe ожидает соединения.
- во время выполнения периодически проверяет наличие в интернете своих обновлений. Если таковые имеются, они загружаются во временный каталог (%Temp%) в файлы со случайными именами и запускаются.
С URL http://**.255.117.157/synctl/loader.pl троянец получает адрес (URL), с которого загружается другая программа и запускается. Программа сохраняется во временном каталоге (%Temp%) с произвольным именем. Также троянец получает с URL http://**.255.117.157/synctl/upd/ddos.txt файл, в котором находится адрес (URL), к которому через каждые 7 секунд производится 15 запросов подряд.Таким образом при помощи данного троянца возможно производить DoS-атаки.
Действия, выполняемые файлом sysvx.exe
Если программа запущена без параметров, её выполнение завершается. Иначе программа слушает TCP-порт, номер которого указан в параметрах командной строки. После того, как соединение на этом порту установлено, программа получает по нему имя или IP-адрес компьютера, с которым требуется установить соединение, и начинает работать как proxy-сервер между этими двумя компьютерами. Поддерживаются протоколы IP, TCP, UDP.
Устали от того, что Интернет знает о вас все?