09.03.2007
Trojan-Downloader.Win32.Small.dwc
Троянский загрузчик, размер 41 кб. В случае запуска скрытно выполняет следующие операции:
1. Изменяет настройки встроенного Firewall Windows при помощи запуска утилиты netsh.exe с параметром «firewall add allowedprogram», внося свой исполняемый файл в список доверенных программ
2. Обращается в серверу Интернет по его IP адресу, загружает с него исполняемый файл с именем /images/logo2.gif и сохраняет его под именем WINDOWS\Inf\comio32.dll. Файл comio32.dll имеет размер 91 кб, сжат UPX, является вредоносной программой.
3. Регистрирует WINDOWS\Inf\comio32.dll в реестре, CLSID {9F143C3A-1457-6CCA-03A7-7AA23B61E40F}
4. Создает ключ автозапуска для загрузки данной библиотеки в Explorer\SharedTaskScheduler
5. Загружает comio32.dll при помощи rundll32.exe
6. Удаляет свое приложение их списка доверенных в настройках Firewall (шаг, обратный шагу 1) и завершает работу