Security Lab

Trojan-Downloader. Win32.Zlob.jj

Trojan-Downloader. Win32.Zlob.jj

Компонент троянского комплекса Trojan-Downloader.Win32.Zlob. Возвращает данные, используемые троянским инсталлятором.

Компонент троянского комплекса Trojan-Downloader.Win32.Zlob. Возвращает данные, используемые троянским инсталлятором.

Программа является динамической библиотекой Windows (PE DLL-файл). Имеет размер 6144 байта, ничем не упакована.

Инсталляция

Троянец распаковывается во временный каталог Windows в ходе выполнения троянского инсталлятора из NSIS-скрипта. После использования удаляется.

Деструктивная активность

Троянец содержит две экспортируемые функции:

1. GetVerID

Возвращает скрипту троянского инсталлятора версию троянского инсталлятора, читая ее из исполняемого файла инсталлятора.

2. CheckIEHistory

Производит вызов функции, перечисляющей URL из истории в кеше браузера "visited:".

Проверяется наличие адреса из следующего набора:

 

?ozyfrog.com
adultchamber.com
askdamagex.com
bbs.adultwebmasterinfo.com
bbs.gofuckyourself.net
bbs.mediumpimpin.com
bigboynetwork.com
boards.xbiz.com
crutop.nu
extremebullshit.com
foogie.com
forum.krawl.com
gallerytrafficservice.com
gaymarketforum.com
gaytraffic.nl
gaywebmasterchat.com
germesia.com
gfy.com
gofuckyourself.com
greenguyandjim.com
jmbsoft.com
krawl.biz
master-x.com
netpond.com
peppersboard.com
pornresource.com
pornstarkings.com
tgpalliance.com
tgpalliance.com
thinkreel.com
videosboard.com
videoscash.com
webmastersarea.com
ynotmasters.com

Если в кеше браузера адрес не был найден, то производится поиск наличия в ключе реестра:

      [HKCU\Software\Microsoft\Internet Explorer\TypedURLs]

Если в результате любого из поисков было найдено совпадение, то в скрипт инсталлятора возвращается значение строковой переменной «1», иначе — «0».

Бэкап знаний создан успешно!

Храним важное в надежном месте

Синхронизируйтесь — подпишитесь