25.12.2006
Trojan-Downloader.Win32.Small.edn
Рассылается по электронной почте в виде zip архива без пароля. Архив имеет небольшой размер - порядка 1.5 кб, типовое имя архива - postcard.zip. Внутри архива содержится единственный файл postcard.exe размером 3588 байт. Текст письма динамически изменяется и имеет следующий вид:
***************
Hi, you’ve just received a postcard.
For:
<Адрес получателя письма>
From:
---
Text:
Happy New Year!
Postcard:
Click on attachment to view a postcard.
----
Pre-holidays Postcards.
http://postcards.wired2000.net/
******************
Сам зловред ничем не сжат и не зашифрован, является классическим Trojan-Downloader. Загрузка файла производится при помощи стандартного высокоуровневого API с использованием функций библиотеки Wininet.dll.
В случае запуска он скрытно загружает файл nt.exe с заложенного в теле EXE файла URL (URL хранится в зашифрованном виде), сохраняет загруженный файл под именем module.exe в текущем каталоге программы. После загрузки файл module.exe запускается, после чего Trojan-Downloader.Win32.Small.edn завершает свою работу. Файл module.exe является одной из разновидностей постового червя Email-Worm.Win32.Warezov.fh (исследованный образец загружал разновидность Email-Worm.Win32.Warezov.fh размером 89088 байта)