Trojan-Dropper.Win32. Small.bbs

Троянец, который устанавливает и запускает другое программное обеспечение на зараженном компьютере без ведома пользователя. Является приложением Windows (PE EXE-файл). Имеет размер 64000 байт.

Деструктивная активность

Троянец расшифровывает и извлекает из своего тела в системный каталог Windows файл размером 46080 байт. Имя файла выбирается произвольным образом из следующего списка:

  nptotect.exe
  alg.exe
  peverify.exe
  makehm.exe
  dw.exe
  mc.exe
  undname.exe
  mdm.exe
  ranlib.exe
  vmwareeufad.exe
  vnetlib.exe
  vnetstats.exe
  deviceemulator.exe
  sevinst.exe
  ccapp.exe
  windres.exe
  res2coff.exe
  objcopy.exe
  gcc.exe
  gcc.exe
  dllwrap.exe
  ccc.exe
  hypertrm.exe
  uedit32.exe
  regwiz.exe
  wabmig.exe
  navw32.exe
  conf.exe
  actcontroller.exe
  umdh.exe
  kdbgctrl.exe
  i386kd.exe
  cdb.exe
  breakin.exe
  7z.exe
  alunotify.exe
  lsetup.exe
  ndetect.exe
  symantecroot.exe
  luinit.exe
  idaw64.exe
  idag.exe
  ia64kd.exe
  pdbcopy.exe
  symstore.exe
  symchk.exe
  hhupd.exe
  hhw.exe
  flash.exe
  codeblocks.exe

Созданный файл детектируется Антивирусом Касперского как Email-Worm.Win32.Mydoom.bj.

Также троянец прописывает распакованный файл в ключ автозагрузки, добавляя его имя в конец ключа реестра:

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"

Затем файл запускается на исполнение.

Также троянец запускает на исполнение файл из своей рабочей папки — «%WorkDir%\TestPolymorph.exe» (в случае его наличия) и завершает свою работу.