Security Lab

Backdoor.Win32. Small.gzp

Backdoor.Win32. Small.gzp

Троянская программа, устанавливающая другие программы на компьютере пользователя без его ведома. Является приложением Windows (PE-EXE файл).

Троянская программа, устанавливающая другие программы на компьютере пользователя без его ведома. Является приложением Windows (PE-EXE файл). Имеет размер 12133 байта. Упакована UPack. Распакованный размер – около 102 КБ. Написана на C++.

Деструктивная активность

После запуска троянец извлекает из своего тела файл, который сохраняется в системе под следующим именем:

%Temp%\~.~~~

(32768 байт; детектируется Антивирусом Касперского как "Backdoor.Win32.Small.gzp") где – случайная последовательность цифр и латинских букв (например: "526fe6a").

Далее троянец запускает системную утилиту "rundll32.exe" со следующими параметрами:

%Temp%\~.~~~ test <полный путь к оригинальному файлу троянца>

Таким образом, вызывается функция "test" из извлеченной ранее библиотеки. После этого троянец завершает свою работу.

Извлеченная троянцем библиотека "%Temp%\~.~~~" реализует следующий функционал:

* файл библиотеки копируется в файлы:

        %System%\csrss.dll
        %System%\rpcss.dll

* Удаляются файлы:

      %System%\ServicePackFiles\i386\rpcss.dll %System%\dllcache\rpcss.dll

* Из тела библиотеки извлекаются файлы, сохраняемые в системе под следующими именами:

        %System%\sh14034.ini
  
        (2880 байт)
  
        %System%\sh14034.dll

(20992 байта; детектируется Антивирусом Касперского как "Trojan-GameThief.Win32.OnLineGames.bksf")

* исполняемый код библиотеки "%System%\sh14034.dll" внедряется в адресное пространство процесса "explorer.exe".

* Функция "test" вызывается со строковым параметром, содержащим полный путь к оригинальному файлу троянца. Данный файл будет удален.

Устали от того, что Интернет знает о вас все?

Присоединяйтесь к нам и станьте невидимыми!