Security Lab

Trojan-Downloader.Win32. Small.ehu

Trojan-Downloader.Win32. Small.ehu

Троянская программа, которая без ведома пользователя загружает на компьютер файлы из сети Интернет и запускает их на исполнение.

Троянская программа, которая без ведома пользователя загружает на компьютер файлы из сети Интернет и запускает их на исполнение. Является приложением Windows (PE EXE-файл). Имеет размер 2269 байт. Упакована при помощи FSG, распакованный размер — около 8 КБ.

Деструктивная активность

При запуске троянец открывает при помощи браузера следующую страницу:

  http://www.postcard.ru/

Вирус запускает копию системного процесса «svchost.exe» и внедряет в него свой код, который скачивает файлы, расположенные по ссылкам:

  http://www.*****publicidad.com/images/images.php?w=1
  http://www.*****publicidad.com/images/images.php?w=2
  http://www.*****publicidad.com/images/images.php?w=3
  http://www.*****publicidad.com/images/images.php?w=4

Данные файлы сохраняются в рабочей папке вредоносной программы под соответствующими именами:

      * win1ogon.exe — имеет размер 11305 байт, детектируется  антивирусом  
Касперского как Trojan-Spy.Win32.Iespy.ag; * mshelper.exe — имеет размер 43008 байт, детектируется антивирусом
Касперского как Trojan-Proxy.Win32.Daemonize.cf; * dxinstall.exe — имеет размер 51200 байт, детектируется антивирусом
Касперского как Email-Worm.Win32.Bagle.is; * msofficer.exe — имеет размер 245760 байт, детектируется антивирусом
Касперского как Backdoor.Win32.Delf.akw.

После успешной загрузки файлы запускаются на исполнение.

По окончании своей работы троянец удаляет свой исполняемый файл.

Антивирус для мозга!

Лечим цифровую неграмотность без побочных эффектов

Активируйте защиту — подпишитесь