Троянская программа, загружающая файлы из сети Интернет без ведома пользователя и запускающая их. Является приложением Windows (-PE-EXE файл)-.
Троянская программа, загружающая файлы из сети Интернет без ведома пользователя и запускающая их. Является приложением Windows (PE-EXE файл). Имеет размер 4096 байт. Упакована PE_Patch, UPack. Распакованный размер - около 102 КБ. Написана на C++.
name="doc3">
Деструктивная активность
После запуска троянец выполняет следующие действия:
- для контроля уникальности своего процесса в системе создает уникальный идентификатор с именем:
_NBA_DOWNLOAD_MUTEX_1_
- Запускает процесс:
%System%\winhlp32.exe
- Создает в корне диска C: каталог:
C:\
где- восьмизначное шестнадцатеричное число, сформированное на основании текущего системного времени. Каталог создается с атрибутами "скрытый" (hidden) и "системный" (system).
- Проверяет имя своего оригинального файла. Если это имя "userinit.exe", то троянец считывает первые 4096 байт из следующих файлов:
%WinDir%\twunk_16.exe%WinDir%\twunk_32.exe%WinDir%\winhelp.exe%WinDir%\winhlp32.exe%System%\ftp.exe%System%\command.com%System%\edit.com%System%\netstat.exe%System%\calc.exe%WinDir%\hh.exe
и записывает полученные данные в файл:C:\
Затем троянец пытается запустить созданный файл.\userinit.exe - После паузы в 30 секунд загружает из сети Интернет файл по следующей ссылке:
http://www.m***78.cn/new.txt
(На момент создания описания ссылка не работала)Файл сохраняется в системе как
C:\
и содержит ссылки для загрузки на зараженный компьютер других вредоносных файлов. По полученным ссылкам троянец загружает файлы, сохраняя их в каталоге "C:\\ " под случайными именами. В случае успешной загрузки файлы запускаются на выполнение. После этого троянец завершает свою работу.