Троянская программа, которая загружает файлы из интернета без ведома пользователя и запускает их на выполнение.
Программа является приложением Windows (PE-EXE файл). Имеет размер 3584 байта. Написана на ассемблере.
Деструктивная активность
Пользователю предлагается ввести URL для скачивания файла из интернета. После того, как пользователь вводит URL, программа открывает файл с именем server.exe, который должен находиться в рабочей папке с программой, и записывает введенную пользователем ссылку в этот файл по смещению 528. Перед записью ссылка шифруется функцией XOR с маской 0x0C8.
Файл server.exe непосредственно является троянским загрузчиком. Представляет собой приложение Windows (PE-EXE файл). Имеет размер 826 байт.
При запуске такой загрузчик скачивает по заложенной в него программой-генератором ссылке файл, сохраняет его как: C:\msrestore.exe
И запускает на исполнение. После этого загрузчик завершает свою работу.
Другие названия
Trojan-Downloader.Win32.Whomp.10 («Лаборатория Касперского») также известен как: TrojanDownloader.Win32.Whomp.10 («Лаборатория Касперского»), Downloader-AP.cfg (McAfee), Download.Trojan (Symantec), Trojan.Whomp.10 (Doctor Web), Troj/DownLdr-AP (Sophos), TrojanDownloader:Win32/Whomp.1_0 (RAV), TROJ_WHOMP10.A (Trend Micro), TR/Whomp.10.B (H+BEDV), Win32:Trojan-gen. (ALWIL), Downloader.Whomp (Grisoft), TrojanDownloader.Win32.Whomp.1.0 (SOFTWIN), Trojan Horse (Panda), Win32/TrojanDownloader.Whomp.10 (Eset)
Спойлер: она начинается с подписки на наш канал