Троянская программа, загружающая файлы из сети Интернет без ведома пользователя и запускающая их.
Троянская программа, загружающая файлы из сети Интернет без ведома пользователя и запускающая их. Является приложением Windows (PE-EXE файл). Имеет размер 7213 байт. Упакована FSG. Распакованный размер - около 53 КБ. Написана на Visual Basic.
name="doc3">
Деструктивная активность
После запуска троянец выполняет следующие действия:
- загружает из сети Интернет файлы по следующим ссылкам:
http://admi***00.org/img/T1gANoXmXwXXcGRBI1_1001.gif
Загруженные файлы сохраняются в системе соответственно как
http://admi***00.org/img/T1gANoXmXwXXcGRBI1_1002.gif
http://admi***00.org/img/T1gANoXmXwXXcGRBI1_1003.gif
http://admi***00.org/img/T1gANoXmXwXXcGRBI1_1004.gif
http://admi***00.org/img/T1gANoXmXwXXcGRBI1_1005.gif
http://admi***00.org/img/T1gANoXmXwXXcGRBI1_1006.gif
http://admi***00.org/img/T1gANoXmXwXXcGRBI1_1007.gif
http://admi***00.org/img/T1gANoXmXwXXcGRBI1_1008.gif
http://admi***00.org/img/T1gANoXmXwXXcGRBI1_1009.gif
http://admi***00.org/img/T1gANoXmXwXXcGRBI1_1010.gif%WinDir%\1001.exe
(На момент создания описания загружался файл размером 29200 байт- детектируется Антивирусом Касперского как "Trojan-Downloader.Win32.Delf.xnh")%WinDir%\1002.exe
(На момент создания описания загружался файл размером 82185 байт- детектируется Антивирусом Касперского как "Trojan.Win32.Agent.drre")%WinDir%\1003.exe
(На момент создания описания загружался файл размером 73728 байт- детектируется Антивирусом Касперского как "Trojan-Downloader.Win32.Adload.qjn")%WinDir%\1004.exe
(На момент создания описания загружался файл размером 30709 байт)%WinDir%\1005.exe
(На момент создания описания загружался файл размером 188416 байт)%WinDir%\1006.exe
(На момент создания описания файл не загружался)%WinDir%\1007.exe
(На момент создания описания файл не загружался)%WinDir%\1008.exe
(На момент создания описания файл не загружался)%WinDir%\1009.exe (На момент создания описания файл не загружался)
%WinDir%\1010.exe
(На момент создания описания файл не загружался) После успешной загрузки файлы запускаются на выполнение. - Открывает в браузере Internet Explorer следующий сайт:
http://www.fx***9.cn/img/gg.htm?31
- Извлекает из своего тела файл, который сохраняется в системе под следующим именем:
%WinDir%\46.bat (7288 байт)
и запускает его на выполнение.
Запуск файла "%WinDir%\46.bat" приводит к следующим последствиям:
- в браузере Internet Explorer открываются сайты:
http://www.fx***9.cn/img/tc.htm?31
http://www.2***h.com/?31tc - Создается ключ системного реестра:
[HKCU\Software\Microsoft\Internet Explorer\Main]
Таким образом, изменяется стартовая страница браузера Internet Explorer.
"Start Page" = "http://www.2***h.com/?10031/" - Создаются ярлыки:
%USERPROFILE%\Desktop\Explorer.url
Ярлыки указывают на URL:
%USERPROFILE%\Application Data\Microsoft\Internet Explorer\Quick
Launch\Explorer.urlhttp://www.2***h.com/?10031/
- В браузере Internet Explorer открывается ссылка:
http://www.fx***9.cn/tj/tj.asp?mac=<физический адрес активного
сетевого адаптера>%&ver=<версия ОС>&userid=31