На главную страницу
 
 Главная 
 AVZ 
 APS 
 Статьи 
 Литература 
 Ссылки 
 Описания вирусов 
 Аппаратные системы 

AdWare/SpyWare
Backdoor
Hoax
Trojan
Trojan-Clicker
Trojan-Downloader
Trojan-Spy
Trojan-PSW
Net-Worm
Worm
Trojan-Dropper
Trojan-Proxy
Email-Worm
FraudTool
Trojan-Ransom

Поиск по сайту


Книга "Rootkits, SpyWare/AdWare, Keyloggers & BackDoors. Обнаружение и защита (+ CD-ROM)" Музыкальный проект антивирусных специалистов



Главная / Информационная безопасность / Описания вирусов

Trojan-Downloader.Win32.Small.cyn


Rootkit:  Нет
Видимые проявления:  В память всех процессов подгружается systw07.dll

Троянский загрузчик, выполнен в виде библиотеки, размер 4 кб, не сжат. Загружается в память процессов при помощи стандартного механизма, основанного на использовании ключа реестра AppInit_DLLs. Обнаруживается искателем троянских DLL и микропрограммой анализа AppInit_DLLs AVZ.
Исследованный образец находился в папке system32, имя файла - systw07.dll. Известен ряд других вариантов имени, в частности win_01.dll, tmp_h7.dll, win_kv.dll, svch5.dll, systw.dll, systw2p.dll.
В момент загрузки DLL выполняет следующие действия:
1. Создает мьютекс "WhAtTheFuck" для контроля своего присутствия в памяти. Если мьютекс с данным именем уже существует, то библиотека ничего не делает. Если не существует – то создается поток.
2. Поток содержит небольшую процедуру-дешифратор, которая расшифровывает фрагмент машинного кода размером 282 байта, находящийся непосредственно после кода дешифратора. Расшифрованный код выполняет загрузку исполняемого файла с сайта sharedfreehosting.com при помощи стандартной функции URLDownloadToFileA с сохранением файла под именем WINDOWS\system32\svchs.exe. После загрузки файл запускается.
На момент исследования URL загрузки был недоступен.

 





џндекс цитированиЯ
(С) Зайцев О.В.
2003-2016

При использовании любых материалов данного сайта необходимо указывать источник информации.