Security Lab

Trojan-Downloader. Win32.Tiner.c

Trojan-Downloader. Win32.Tiner.c

Троянская программа, загружающая из интернета файлы без ведома пользователя

Троянская программа, загружающая из интернета файлы без ведома пользователя. Является приложением Windows (PE EXE-файл). Размер файла — 10240 байт.

Деструктивная активность

При инсталляции троянец проверяет, запущен ли он из системного каталога Windows и имеет ли имя System33r.exe:

%System%\system33r.exe

Если да, - то программа извлекает из ресурсов тело файла, который затем сохраняется со следующим именем (размер — 5632 байта):

  %System%\system33r.dll
  

Если троянец запущен из другого каталога, он копирует свое тело в каталог %System% под именем system33r.exe:

%System%\system33r.exe

...Запускает его и удаляет свой оригинальный файл файл.

Далее программа ищет в системе окно с классом «Shell_TrayWnd», получает идентификатор процесса, которому принадлежит это окно и записывает в его адресное пространство исполняемый код. Затем троянец устанавливает счетчик исполнения на выделенную область и передает в нее управление. В измененный процесс подгружается библиотека system33r.dll. С помощью этой библиотеки скачивается файл, адрес которого указан по смещению A36h в файле system33r.dll, и сохраняется в файл, имя которого указано по смещению A56h в том же файле.

Другие названия

Trojan-Downloader.Win32.Tiner.c («Лаборатория Касперского») также известен как: TrojanDownloader.Win32.Tiner.c («Лаборатория Касперского»), Download.Trojan (Symantec), Trojan.Konsl.3 (Doctor Web), TrojanDownloader:Win32/Tiner.C (RAV), TROJ_TINER.C (Trend Micro), Win32:Tiner-C1 (ALWIL), Downloader.Tiner.H (Grisoft), Trojan Horse (Panda), Win32/TrojanDownloader.Tiner.C (Eset)

Квантовый кот Шрёдингера ищет хозяина!

Живой, мертвый или в суперпозиции? Узнайте в нашем канале

Откройте коробку любопытства — подпишитесь