Trojan-Downloader.Win32. VB.bqz

Троянская программа, которая без ведома пользователя загружает из сети Интернет другие файлы и запускает их на исполнение. Является приложением Windows (PE EXE-файл). Имеет размер 31744 байта. Написана на Visual Basic.

Инсталляция

После запуска троянец копирует свой исполняемый файл в системный каталог Windows:

  %System%\wdfmgrnt.exe
  

Для автоматического запуска при каждом последующем старте системы троян добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:

  [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
  "wdfmgrnt" = "%System%\wdfmgrnt.exe"
  

Деструктивная активность

Троянец запускает браузер Internet Explorer и внедряет в него код, который скачивает файлы по следующим ссылкам:

http://59.***.197.***/t21.exe
http://59.***.197.***/10050.exe

Скачанные файлы сохраняются в системном каталоге Windows:

      * %System%\t21.exe — имеет размер 159905 байт;
      * %System%\10050.exe — имеет размер 155648 байт.
  

Затем скачанные файлы запускаются на исполнение.