Trojan-Downloader.Win32.VB.agi

05.07.2006

Trojan-Downloader.Win32.VB.agi

Типичный Trojan-Downloader, размер 28672 байта, написан на Basic, не сжат и не зашифрован, однако явно видны попытки простейшей защиты приеняемых текстовых констант от обнаружения. Скрытно выполняет следующие действия:
1. Обращается к www.nonameforthisdomain.com и загружает с него текстовый файл небольшого размера, применяемый по всей видимости для проверки связи. Файл содержит единственную текстовую стороку "PLEASE DO NOT DELETE / SYSTEM FILE " 
2. Загружает с сайта content.dollarrevenue.com исполняемый файл, сохраняет его в корне диска под именем dfndrc_4a.exe и запускает 
3. Загружает с сайта content.dollarrevenue.com исполняемый файл, сохраняет его в корне диска под именем kybrdc_4.exe nwnmc_4.exe и запускает
4. Загружает с сайта content.dollarrevenue.com исполняемый файл, сохраняет его в корне диска под именем nwnmc_4.exe и запускает
5. Изменяет стартовую страницу браузера на www.findthewebsiteyouneed.com
6. Изменяет страницу поиска браузера на searchbar.findthewebsiteyouneed.com
7. Создает файл windows\keyboard1.dat, загружая его содержимое с www.nonameforthisdomain.com. На моент исследвоания этот файл мел нулевой размер.

Все загруженные и запущенные программы являются вредоносными, имеют небольшой размер и написаны на Basic. После запуска они регистрируют себя в автозагрузке (ключ CurrentVersion\Run)