Trojan-Downloader.Win32. Small.fxa
Троянская программа, которая без ведома пользователя скачивает на компьютер другое программное обеспечение и запускает его на исполнение.
Инсталляция
При запуске троянец инсталлирует в системный каталог Windows файл драйвера со следующим именем:
%System%\nso12k.sys
Данный файл имеет размер 4383 байта и детектируется Антивирусом Касперского как Rootkit.Win32.Agent.jq.
Также троянец добавляет в системный реестр следующий ключ:
[HKLM\System\CurrentControlSet\Services\Driver]
"ImagePath" = "%System%\nso12k.sys"
Затем копирует свой исполняемый файл в системный каталог Windows под именем «cssrss.exe»:
%System%\cssrss.exe
Для автоматического запуска при каждом последующем старте системы троянец добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run] "WMDM PMSP Service" = "%System%\cssrss.exe"
Деструктивная активность
Используя установленный драйвер, троянская программа имеет возможность фильтровать интернет-трафик пользователя, работая в качестве IP Filter Driver. Для этого троянец использует функционал объектов в «ntoskrnl.exe» и «ndis.sys». Также драйвер обеспечивает сокрытие самого файла троянца в системе.
Работая в резидентном режиме и имея доступ в Интернет, троянец взаимодействует с удаленным сервером злоумышленника, производя несанкционированную загрузку на компьютер пользователя вредоносных программ.
Троянец открывает следующую ссылку, передавая в качестве параметра тип операционной системы пользователя:
http://***.***.27.120/~stopna/ing/knock.php?win=
(На момент создания описания ссылка не работала.)
Загруженный троянцем файл сохраняется под следующим именем:
%Temp%\sdasdadsad.exe