24.01.2007
Trojan-Downloader.Win32.Small.cyn
Троянский загрузчик, выполнен в виде библиотеки, размер 4 кб, не сжат. Загружается в память процессов при помощи стандартного механизма, основанного на использовании ключа реестра AppInit_DLLs. Обнаруживается искателем троянских DLL и микропрограммой анализа AppInit_DLLs AVZ.
Исследованный образец находился в папке system32, имя файла - systw07.dll. Известен ряд других вариантов имени, в частности win_01.dll, tmp_h7.dll, win_kv.dll, svch5.dll, systw.dll, systw2p.dll.
В момент загрузки DLL выполняет следующие действия:
1. Создает мьютекс "WhAtTheFuck" для контроля своего присутствия в памяти. Если мьютекс с данным именем уже существует, то библиотека ничего не делает. Если не существует – то создается поток.
2. Поток содержит небольшую процедуру-дешифратор, которая расшифровывает фрагмент машинного кода размером 282 байта, находящийся непосредственно после кода дешифратора. Расшифрованный код выполняет загрузку исполняемого файла с сайта sharedfreehosting.com при помощи стандартной функции URLDownloadToFileA с сохранением файла под именем WINDOWS\system32\svchs.exe. После загрузки файл запускается.
На момент исследования URL загрузки был недоступен.