На главную страницу
 
 Главная 
 AVZ 
 APS 
 Статьи 
 Литература 
 Ссылки 
 Описания вирусов 
 Аппаратные системы 

AdWare/SpyWare
Backdoor
Hoax
Trojan
Trojan-Clicker
Trojan-Downloader
Trojan-Spy
Trojan-PSW
Net-Worm
Worm
Trojan-Dropper
Trojan-Proxy
Email-Worm
FraudTool
Trojan-Ransom

Поиск по сайту


Книга "Rootkits, SpyWare/AdWare, Keyloggers & BackDoors. Обнаружение и защита (+ CD-ROM)" Музыкальный проект антивирусных специалистов



Главная / Информационная безопасность / Описания вирусов / Trojan-Downloader

Trojan-Downloader.Win32.VB.agi


Rootkit:  Нет
Видимые проявления:  Стартовая страница изменяется на www.findthewebsiteyouneed.com
Страница поиска изменяется на searchbar.findthewebsiteyouneed.com
Появление в корне диска посторонних файлов с именами dfndrc_4a.exe kybrdc_4.exe nwnmc_4.exe
Синонимы:  Trojan.DownLoader.10308 (DrWeb)
Win32/TrojanDownloader.Adload.AY (NOD32)
Trojan.Downloader.VB.TC (BitDefender)

Типичный Trojan-Downloader, размер 28672 байта, написан на Basic, не сжат и не зашифрован, однако явно видны попытки простейшей защиты приеняемых текстовых констант от обнаружения. Скрытно выполняет следующие действия:
1. Обращается к www.nonameforthisdomain.com и загружает с него текстовый файл небольшого размера, применяемый по всей видимости для проверки связи. Файл содержит единственную текстовую стороку "PLEASE DO NOT DELETE / SYSTEM FILE " 
2. Загружает с сайта content.dollarrevenue.com исполняемый файл, сохраняет его в корне диска под именем dfndrc_4a.exe и запускает 
3. Загружает с сайта content.dollarrevenue.com исполняемый файл, сохраняет его в корне диска под именем kybrdc_4.exe nwnmc_4.exe и запускает
4. Загружает с сайта content.dollarrevenue.com исполняемый файл, сохраняет его в корне диска под именем nwnmc_4.exe и запускает
5. Изменяет стартовую страницу браузера на www.findthewebsiteyouneed.com
6. Изменяет страницу поиска браузера на searchbar.findthewebsiteyouneed.com
7. Создает файл windows\keyboard1.dat, загружая его содержимое с www.nonameforthisdomain.com. На моент исследвоания этот файл мел нулевой размер.

Все загруженные и запущенные программы являются вредоносными, имеют небольшой размер и написаны на Basic. После запуска они регистрируют себя в автозагрузке (ключ CurrentVersion\Run)

Назад в раздел  





џндекс цитированиЯ
(С) Зайцев О.В.
2003-2016

При использовании любых материалов данного сайта необходимо указывать источник информации.