Trojan-Downloader. Win32.Zlob.jj

Компонент троянского комплекса Trojan-Downloader.Win32.Zlob. Возвращает данные, используемые троянским инсталлятором.

Программа является динамической библиотекой Windows (PE DLL-файл). Имеет размер 6144 байта, ничем не упакована.

Инсталляция

Троянец распаковывается во временный каталог Windows в ходе выполнения троянского инсталлятора из NSIS-скрипта. После использования удаляется.

Деструктивная активность

Троянец содержит две экспортируемые функции:

1. GetVerID

Возвращает скрипту троянского инсталлятора версию троянского инсталлятора, читая ее из исполняемого файла инсталлятора.

2. CheckIEHistory

Производит вызов функции, перечисляющей URL из истории в кеше браузера "visited:".

Проверяется наличие адреса из следующего набора:

 

      ?ozyfrog.com
      adultchamber.com
      askdamagex.com
      bbs.adultwebmasterinfo.com
      bbs.gofuckyourself.net
      bbs.mediumpimpin.com
      bigboynetwork.com
      boards.xbiz.com
      crutop.nu
      extremebullshit.com
      foogie.com
      forum.krawl.com
      gallerytrafficservice.com
      gaymarketforum.com
      gaytraffic.nl
      gaywebmasterchat.com
      germesia.com
      gfy.com
      gofuckyourself.com
      greenguyandjim.com
      jmbsoft.com
      krawl.biz
      master-x.com
      netpond.com
      peppersboard.com
      pornresource.com
      pornstarkings.com
      tgpalliance.com
      tgpalliance.com
      thinkreel.com
      videosboard.com
      videoscash.com
      webmastersarea.com
      ynotmasters.com

Если в кеше браузера адрес не был найден, то производится поиск наличия в ключе реестра:

      [HKCU\Software\Microsoft\Internet Explorer\TypedURLs]

Если в результате любого из поисков было найдено совпадение, то в скрипт инсталлятора возвращается значение строковой переменной «1», иначе — «0».