Security Lab

Trojan-Downloader. Win32.Leodon.a

Trojan-Downloader. Win32.Leodon.a

Троянская программа, загружающая из интернета другие вредоносные программы без ведома пользователя.

Троянская программа, загружающая из интернета другие вредоносные программы без ведома пользователя. Является приложением Windows (PE EXE-файл). Имеет размер 11350 байт. Упакована при помощи UPX. Распакованный размер — около 45 КБ. Написана на Borland Delphi.

Деструктивная активность

После запуска программа проверяет наличие в системе окна с классом окна «WHBOY-down» и именем окна «xleo». Если такое окно было найдено, то происходит завершение работы троянца. Это делается во избежание повторного запуска троянской программы.

Далее происходит создание потока, в котором происходит загрузка и запуск загруженных файлов.

Троянец скачивает файлы по следующим ссылкам:

http://sohuly.com/files/upfile/down1.exe
http://sohuly.com/files/upfile/iesp2.exe

И сохраняет данные файлы под именами:

%System%\down1.exe
%System%\down2.exe

Троянец регистрирует в системе класс окна «WHBOY-down» и создает окно с именем «xleo», в котором происходит ожидание сообщения завершения работы приложения (WM_QUIT), генерируемого созданным потоком после завершения загрузки и запуска вышеуказанных файлов. После этого троянец завершает свою работу.

Другие названия

Trojan-Downloader.Win32.Leodon.a («Лаборатория Касперского») также известен как: TrojanDownloader.Win32.Leodon.a («Лаборатория Касперского»), Downloader-KO (McAfee), Downloader.Trojan (Symantec), Trojan.DownLoader.447 (Doctor Web), TrojanDownloader:Win32/Leodon.A (RAV), Possible_Virus (Trend Micro), TR/Dldr.Leodon.A (H+BEDV), Win32:Trojan-gen. (ALWIL), Downloader.Leodon.A (Grisoft), Trojan.Downloader.Leodon.A (SOFTWIN), Trojan Horse (Panda), Win32/TrojanDownloader.Leodon.A (Eset)

SOC как супергерой: не спит, не ест, следит за безопасностью!

И мы тоже не спим, чтобы держать вас в курсе всех угроз

Подключитесь к экспертному сообществу!