03.03.2007
Trojan-Downloader.Win32.Small.ddx
Размер 13 кб, сжат PECompact. В случае запуска скрытно выполняет следующие операции:
1. Создает на диске файл WINDOWS\system32\ap7f4fr.dll. Данная библиотека является компонентом Trojan-Downloader.Win32.Small.ddx, размер 10 кб, задача библиотеки – загрузка вредоносных программ из Интернет
2. Запускает Regsvr32.exe /s для регистрации библиотеки ap7f4fr.dll. В результате библиотека регистрирует CLSID 8D5849C4-93F3-429D-FF34-260A2068897C и записывается в автозапуск при помощи ключа Explorer\SharedTaskScheduler и регистрируется в качестве BHO
3. Создает файл TEMP\svchots.exe и запускает его. Он в свою очередь регистрируется в автозапуске
4. Загружает с сайта http://[deleted]/rd/file.php?id=1C75D8BDE4844C0&ver=rk0 исполняемый файл и сохраняет его под именем TEMP\3736788944.exe. На момент исследования файл был недоступен
5. Запускает explorer.exe
6. Создает и запускает файл p2hhr.bat, применяемый для самоунитожения