10.10.2006
Trojan-Downloader.Win32.Tiny.bw
Исполняемый файл имеет размер 4 кб, не сжат и не зашифрован. Скрытно выполняет следующие операции:
1. Копирует свой исполняемый файл в папку Documents and Settings\<имя пользователя>\Local Settings\Application Data\1976197c.exe и регистрирует этот файл в автозапуске в ключе HKCU\Software\Microsoft\Windows\CurrentVersion\Run
2. Копирует свой исполняемый файл в папку WINDOWS\system32\1976197c.exe и регистрирует этот файл в автозапуске в ключе HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
3. Обращается к сайту ad.tuzikmedia.biz (этот адрес виден в теле EXE файла открытым текстом), на момент обследования данный сайт был недоступен
Имя исполняемого файла при установке генерируется динамически. В теле вредоносной программы содержится машинный код, осуществляющий перечисление окон, открытие соответствующих им процессов для последующего инжектирования троянского кода и его запуска при помощи механизма создания удаленных потоков (CreateRemoteThread)