Trojan-Downloader.Win32. FraudLoad.gym

Троянская программа, загружающая файлы из сети Интернет без ведома пользователя и запускающая их.

Троянская программа, загружающая файлы из сети Интернет без ведома пользователя и запускающая их. Является приложением Windows (PE-EXE файл). Имеет размер 44544 байта. Написана на C++.


name="doc3">

Деструктивная активность

После запуска троянец выполняет следующие действия:

  • извлекает из своего тела файл, который сохраняется в каталоге хранения временных файлов текущего пользователя под случайным именем:
    %Temp%\.vbs
    (2973 байта- детектируется Антивирусом Касперского как " Trojan-Downloader.Win32.FraudLoad.gym") где - случайное восьмизначное шестнадцатеричное число (например: "4d0b7d84").
  • Запускает извлеченный файл при помощи системного командного интерпретатора:
    cmd.exe /c %Temp%\.vbs
  • Для удаления своего оригинального файла после завершения его работы запускает системный командный интерпретатор с параметрами:
    /c del <полный путь к оригинальному файлу троянца> > nul
После этого троянец завершает свою работу.

Извлеченный троянцем файл является VBS-скриптом, реализующим функционал загрузчика. После запуска данный файл, используя уязвимость в ActiveX компоненте "XMLHTTP", загружает из сети Интернет файл по следующей ссылке:

http://ka-k***gsystem-at.info/PCDefenderSilentSetup.msi 
(на момент создания описания ссылка не работала)
Благодаря уязвимости в ActiveX компоненте "ADODB.Stream" загруженный файл сохраняется в каталоге "My Documents" текущего пользователя под случайным именем:
%USERPROFILE%\My Documents\\.msi
Далее загруженный файл запускается на выполнение.

Кто Онлайн

Сейчас 22 гостей и ни одного зарегистрированного пользователя на сайте