На главную страницу
 
 Главная 
 AVZ 
 APS 
 Статьи 
 Литература 
 Ссылки 
 Описания вирусов 
 Аппаратные системы 

AdWare/SpyWare
Backdoor
Hoax
Trojan
Trojan-Clicker
Trojan-Downloader
Trojan-Spy
Trojan-PSW
Net-Worm
Worm
Trojan-Dropper
Trojan-Proxy
Email-Worm
FraudTool
Trojan-Ransom

Поиск по сайту


Книга "Rootkits, SpyWare/AdWare, Keyloggers & BackDoors. Обнаружение и защита (+ CD-ROM)" Музыкальный проект антивирусных специалистов



Главная / Информационная безопасность / Описания вирусов / Trojan-Downloader

Trojan-Downloader.Win32.Small.dpj


Rootkit:  Нет
Видимые проявления:  Посторонний элемент автозапуска, ссылающийся на system32\intranet.exe
Появление в System32 массы посторонних исполняемых файлов

Троянский загрузчик, размер 7249 байт, сжат PECompact. В случае запуска скрытно выполняет следующие операции
1. Копирует свой исполняемый файл в WINDOWS\system32\intranet.exe
2. Запускает полученную копию, передавая ей в качестве параметра исходное имя исполняемого файла, после чего завершает работу
3. После запуска WINDOWS\system32\intranet.exe удаляет файл, указанный в качестве параметра – таким образом реализовано самоуничтожение исходного файла. После этого intranet.exe регистрируется в автозапуске (ключ реестра Run\intranet) и завершает работу
4. После перезагрузки троянская программа запускается и выдерживает достаточно длительный таймаут (о всей видимости для защиты от анализаторов), после чего загружает из Интернет исполняемые файлы. После загрузки файлы запускаются. Список файлов весьма внушительный (более десяти), в частности, в в ходе загрузки создаются:
WINDOWS\system32\arpa.exe (данный файл является Adware.QQHelp, на момент исследования сервер недоступен),
WINDOWS\system32\autoca.exe,
WINDOWS\system32\pig.exe,
WINDOWS\system32\controld.exe,
WINDOWS\system32\dfrgfat32.exe,
WINDOWS\system32\fat32.exe,
WINDOWS\system32\lprhnt.exe,
WINDOWS\system32\intranet.exe,
WINDOWS\system32\mnt32.exe,
WINDOWS\system32\100setup.exe,
WINDOWS\system32\w32tx.exe,
WINDOWS\system32\wowdba.exe,
WINDOWS\system32\wsetup.exe .
На момент обследования все ипользуемые трояном ссылки были уже недоступны.

Назад в раздел  





џндекс цитированиЯ
(С) Зайцев О.В.
2003-2016

При использовании любых материалов данного сайта необходимо указывать источник информации.