07.01.2007
Trojan-Downloader.Win32.Small.dpj
Троянский загрузчик, размер 7249 байт, сжат PECompact. В случае запуска скрытно выполняет следующие операции
1. Копирует свой исполняемый файл в WINDOWS\system32\intranet.exe
2. Запускает полученную копию, передавая ей в качестве параметра исходное имя исполняемого файла, после чего завершает работу
3. После запуска WINDOWS\system32\intranet.exe удаляет файл, указанный в качестве параметра – таким образом реализовано самоуничтожение исходного файла. После этого intranet.exe регистрируется в автозапуске (ключ реестра Run\intranet) и завершает работу
4. После перезагрузки троянская программа запускается и выдерживает достаточно длительный таймаут (о всей видимости для защиты от анализаторов), после чего загружает из Интернет исполняемые файлы. После загрузки файлы запускаются. Список файлов весьма внушительный (более десяти), в частности, в в ходе загрузки создаются:
WINDOWS\system32\arpa.exe (данный файл является Adware.QQHelp, на момент исследования сервер недоступен),
WINDOWS\system32\autoca.exe,
WINDOWS\system32\pig.exe,
WINDOWS\system32\controld.exe,
WINDOWS\system32\dfrgfat32.exe,
WINDOWS\system32\fat32.exe,
WINDOWS\system32\lprhnt.exe,
WINDOWS\system32\intranet.exe,
WINDOWS\system32\mnt32.exe,
WINDOWS\system32\100setup.exe,
WINDOWS\system32\w32tx.exe,
WINDOWS\system32\wowdba.exe,
WINDOWS\system32\wsetup.exe .
На момент обследования все ипользуемые трояном ссылки были уже недоступны.