Троянская программа, которая без ведома пользователя загружает из сети Интернет другие вредоносные программы и запускает их на выполнение.
Деструктивная активность
После активации троянец добавляет свой исполняемый файл в список исключений в Windows XP Firewall:
[HKLM\System\ControlSet001\Services\SharedAccess\
Parameters\FirewallPolicy\
StandardProfile\AuthorizedApplications\List]
"<путь к оригинальному файлу троянца>" =
"<путь к оригинальному файлу троянца>:*:Enabled:RASS Server"
Если троянец находит в системе файл с именем:
iBank
то производит загрузку файлов с одного из следующих URL:
http://213.182.197.***/update/javaw.exe
Данный файл имеет размер 102400 байт и детектируется Антивирусом Касперского как Trojan-Spy.Win32.Agent.ayjb.
http://213.182.197.***/update/bss.exe
Данный файл имеет размер 106496 байт и детектируется Антивирусом Касперского как Trojan-Spy.Win32.Agent.ayiv.
http://213.182.197.***/update/fak.exe
Данный файл имеет размер 100864 байта и детектируется Антивирусом Касперского как Trojan-Spy.Win32.Agent.ayiw.
Если троянец находит в системе файлы с именами:
Core.exe
BS-Defender
BSClnt
То троянец производит загрузку файла со следующего URL:
http://213.182.197.***/update/socks5.exe
На момент создания описания ссылка не работала.
Загруженные файлы троянец сохраняет под следующими именами соответственно:
%Program Files%\Common Files\sqlserv.exe
%Program Files%\Common Files\sqlbrowser.exe
%Program Files%\Common Files\sql.exe
%Program Files%\Common Files\sqlbrowse.exe
После успешного сохранения файлы запускаются на выполнение.
Если троянец находит в системе файл с именем:
LBank
То троянец завершает свою работу.
Также троянец во временном каталоге текущего пользователя Windows создает файл командного интерпретатора под именем "del.bat":
%Temp%\del.bat
В данный файл троянец записывает код для отправки двух ICM пакетов с интервалом в 1 секунду на локальный узел, удаления оригинального тела троянца и самого файла командного интерпретатора. Далее файл запускается на выполнение.