Троянская программа — генератор троянского программного обеспечения.
Является приложением Windows (PE EXE-файл). Размер зараженного файла — 222208 байт. Упакована UPX. Размер распакованного файла — около 555 КБ. Написана на языке Borland Delphi.
Деструктивная активность
После запуска троянской программы на экране появляется следующее диалоговое окно конфигурирования загрузчика.
В поле под названием «Select File:» указывается имя загружаемого файла, в поле «Download File From:» указывается адрес загружаемого файла, в поле «Save To:» — куда сохранять скаченный файл и под каким именем.
При запуске сгенерированного загрузчика создается файл С:\system.dll. В system.dll создается поток, который записывает в файл, указанный пользователем, интересующую веб-страничку. После чего открывает ее в окне браузера.
Программа-генератор содержит следующие строки:
.: Sandesa 1.1 :.
Worlds' First Firewall Bypassed Web-Downloader
Coded by jaNooNi for sin***.com
http://www.ja*****.com
http://www.sin***.com
Другие названия
Trojan-Downloader.Win32.Sandesa.11 («Лаборатория Касперского») также известен как: TrojanDownloader.Win32.Sandesa.11 («Лаборатория Касперского»), Downloader-CC (McAfee), Downloader (Symantec), Trojan.MulDrop.280 (Doctor Web), Troj/DownLdr-CC (Sophos), TrojanDownloader:Win32/Sandesa.1_1 (RAV), TROJ_SANDESA.B (Trend Micro), TR/Dldr.Sandesa.12 (H+BEDV), Win32:Trojan-gen. (ALWIL), Downloader.Sandesa.B (Grisoft), Trojan.Downloader.Sandesa.1.1 (SOFTWIN), Trojan Horse (Panda), Win32/TrojanDownloader.Sandesa.11 (Eset)
Собираем и анализируем опыт профессионалов ИБ