Security Lab

Trojan-Downloader. Win32.VB.acl

Trojan-Downloader. Win32.VB.acl

Троянская программа, загружающая из интернета файлы без ведома пользователя.

Троянская программа, загружающая из интернета файлы без ведома пользователя. Является приложением Windows (PE EXE-файл). Имеет размер 7168 байт. Упакована при помощи UPX. Распакованный размер около 20 КБ. Написана на Visual Basic.

Деструктивная активность

При запуске троянцем проверяется наличие файла «c:\program files\trustin popups\popups.exe». Если этот файл присутствует в системе, то происходит завершение работы троянца.

При отсутствии этого файла троянец создает каталог «c:\program files\TrustIn Popups» и производит загрузку файла popups.exe, расположенного по указанному адресу:

http://***.trustincash.com/popups/popups.exe

Скаченный файл сохраняется в созданный троянцем каталог:

c:\program files\trustin popups\popups.exe

После этого троянец загружает файл, расположенный по ссылке:

http://***.trustincash.com/popups/uninstall.exe

И сохраняет его в тот же каталог:

c:\program files\trustin popups\uninstall.exe

На момент создания описания указанные ссылки не работали.

Троянец регистрирует файл uninstall.exe в системном реестре в секции установки и удаления программ путём добавления следующих значений ключей:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\TIPU]
"UninstallString"="c:\program files\trustin popups\uninstall.exe"
"DisplayName"="TrustIn Popups"

Дальше происходит запуск сохраненного файла popups.exe и завершение работы троянской программы.

Ищем баги вместе! Но не те, что в продакшене...

Разбираем кейсы, делимся опытом, учимся на чужих ошибках

Зафиксируйте уязвимость своих знаний — подпишитесь!