07.02.2007
Trojan-Downloader.Win32.CWS.j
Исполняемый файл известен под именем message.exe, размер 13824 байта, сжат UPX. В случае запуска скрытно выполняет следующие операции:
1. Производит попытку удаления C:\web.exe и Documents and Settings\All Users\Start Menu\Programs\Startup\Microsoft Office.hta
2. Обращается к сайту pentalgin.info, передавая в качестве параметра числовой код
3. Копирует свой исполняемый файл в WINDOWS\inet20126\services.exe. После копирования файл запускается
Запущенная из папки WINDOWS\inet20126 копия троянской программы в свою очередь выполняет следующие действия:
1. Производит попытку удаления C:\web.exe и Documents and Settings\All Users\Start Menu\Programs\Startup\Microsoft Office.hta
2. Регистрируется в автозапуске с использованием ключей HKCU\Software\Microsoft\Windows\CurrentVersion\Run\xp_system и HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\xp_system
3. Загружает ряд исполняемый файлов и сохраняет под именами winlogon.exe, mmx340.exe, free.exe, svchost.exe, syswin.exe, OEM.exe в текущем каталоге
Загруженные и запущенные программы являются троянскими приложениями класса Trojan-Proxy.Win32.Agent и Trojan-Spy.Win32.Agent.