Security Lab

Trojan-Downloader.Win32. Agent.capa

Trojan-Downloader.Win32. Agent.capa

Троянская программа, которая без ведома пользователя загружает из сети Интернет другие вредоносные программы и запускает их на выполнение.

Троянская программа, которая без ведома пользователя загружает из сети Интернет другие вредоносные программы и запускает их на выполнение. Программа является приложением Windows (PE EXE-файл). Имеет размер 25988 байт. Упакована при помощи UPX. Распакованный размер — около 53 КБ. Написана на C++.

Деструктивная активность

После активации троянец добавляет свой исполняемый файл в список исключений в Windows XP Firewall:

[HKLM\System\ControlSet001\Services\SharedAccess\
Parameters\FirewallPolicy\
StandardProfile\AuthorizedApplications\List]
"<путь к оригинальному файлу троянца>" =
"<путь к оригинальному файлу троянца>:*:Enabled:RASS Server"

Если троянец находит в системе файл с именем:

iBank

то производит загрузку файлов с одного из следующих URL:

http://213.182.197.***/update/javaw.exe

Данный файл имеет размер 102400 байт и детектируется Антивирусом Касперского как Trojan-Spy.Win32.Agent.ayjb.

http://213.182.197.***/update/bss.exe

Данный файл имеет размер 106496 байт и детектируется Антивирусом Касперского как Trojan-Spy.Win32.Agent.ayiv.

http://213.182.197.***/update/fak.exe

Данный файл имеет размер 100864 байта и детектируется Антивирусом Касперского как Trojan-Spy.Win32.Agent.ayiw.

Если троянец находит в системе файлы с именами:


Core.exe
BS-Defender
BSClnt

То троянец производит загрузку файла со следующего URL:

http://213.182.197.***/update/socks5.exe

На момент создания описания ссылка не работала.

Загруженные файлы троянец сохраняет под следующими именами соответственно:


%Program Files%\Common Files\sqlserv.exe
%Program Files%\Common Files\sqlbrowser.exe
%Program Files%\Common Files\sql.exe
%Program Files%\Common Files\sqlbrowse.exe

После успешного сохранения файлы запускаются на выполнение.

Если троянец находит в системе файл с именем:

LBank

То троянец завершает свою работу.

Также троянец во временном каталоге текущего пользователя Windows создает файл командного интерпретатора под именем "del.bat":


%Temp%\del.bat

В данный файл троянец записывает код для отправки двух ICM пакетов с интервалом в 1 секунду на локальный узел, удаления оригинального тела троянца и самого файла командного интерпретатора. Далее файл запускается на выполнение.

Устали от того, что Интернет знает о вас все?

Присоединяйтесь к нам и станьте невидимыми!

Новости по теме

Ждете, когда Google наконец уберет сторонние куки в Chrome? Придется потерпеть еще год

ЦБ РФ и Росфинмониторинг тестируют платформу для контроля криптовалютных операций

Как ученые готовятся к пугающе близкому сближению Апофиса с Землей

Пакистанские RAT-атаки на оборонный сектор Индии усиливаются в преддверии выборов

Австралийские спецслужбы тонко намекают техсектору на необходимость внедрения скрытых бэкдоров

С тюремной шконки прямиком в веб-дизайн: HTML и CSS дарят заключённым билет в светлое будущее

20% энергии солнца в кармане: дроны с бесконечным полетом спешат на помощь

Больше никаких бесплатных игр: Steam закрывает лазейку для хитрых геймеров

Свиньи спасли еще одну жизнь: женщине пересадили не только почку, но и насос для сердца