Security Lab

Trojan-Downloader. Win32.Whomp.10

Trojan-Downloader. Win32.Whomp.10

Троянская программа, которая загружает файлы из интернета без ведома пользователя и запускает их на выполнение.

Троянская программа, которая загружает файлы из интернета без ведома пользователя и запускает их на выполнение.

Программа является приложением Windows (PE-EXE файл). Имеет размер 3584 байта. Написана на ассемблере.

Деструктивная активность

Пользователю предлагается ввести URL для скачивания файла из интернета. После того, как пользователь вводит URL, программа открывает файл с именем server.exe, который должен находиться в рабочей папке с программой, и записывает введенную пользователем ссылку в этот файл по смещению 528. Перед записью ссылка шифруется функцией XOR с маской 0x0C8.

Файл server.exe непосредственно является троянским загрузчиком. Представляет собой приложение Windows (PE-EXE файл). Имеет размер 826 байт.

При запуске такой загрузчик скачивает по заложенной в него программой-генератором ссылке файл, сохраняет его как: C:\msrestore.exe

И запускает на исполнение. После этого загрузчик завершает свою работу.

Другие названия

Trojan-Downloader.Win32.Whomp.10 («Лаборатория Касперского») также известен как: TrojanDownloader.Win32.Whomp.10 («Лаборатория Касперского»), Downloader-AP.cfg (McAfee), Download.Trojan (Symantec), Trojan.Whomp.10 (Doctor Web), Troj/DownLdr-AP (Sophos), TrojanDownloader:Win32/Whomp.1_0 (RAV), TROJ_WHOMP10.A (Trend Micro), TR/Whomp.10.B (H+BEDV), Win32:Trojan-gen. (ALWIL), Downloader.Whomp (Grisoft), TrojanDownloader.Win32.Whomp.1.0 (SOFTWIN), Trojan Horse (Panda), Win32/TrojanDownloader.Whomp.10 (Eset)

Мы расшифровали формулу идеальной защиты!

Спойлер: она начинается с подписки на наш канал

Введите правильный пароль — подпишитесь!