05.07.2006
Trojan-Downloader.Win32.VB.agi
Типичный Trojan-Downloader, размер 28672 байта, написан на Basic, не сжат и не зашифрован, однако явно видны попытки простейшей защиты приеняемых текстовых констант от обнаружения. Скрытно выполняет следующие действия:
1. Обращается к www.nonameforthisdomain.com и загружает с него текстовый файл небольшого размера, применяемый по всей видимости для проверки связи. Файл содержит единственную текстовую стороку "PLEASE DO NOT DELETE / SYSTEM FILE "
2. Загружает с сайта content.dollarrevenue.com исполняемый файл, сохраняет его в корне диска под именем dfndrc_4a.exe и запускает
3. Загружает с сайта content.dollarrevenue.com исполняемый файл, сохраняет его в корне диска под именем kybrdc_4.exe nwnmc_4.exe и запускает
4. Загружает с сайта content.dollarrevenue.com исполняемый файл, сохраняет его в корне диска под именем nwnmc_4.exe и запускает
5. Изменяет стартовую страницу браузера на www.findthewebsiteyouneed.com
6. Изменяет страницу поиска браузера на searchbar.findthewebsiteyouneed.com
7. Создает файл windows\keyboard1.dat, загружая его содержимое с www.nonameforthisdomain.com. На моент исследвоания этот файл мел нулевой размер.
Все загруженные и запущенные программы являются вредоносными, имеют небольшой размер и написаны на Basic. После запуска они регистрируют себя в автозагрузке (ключ CurrentVersion\Run)