Trojan-Downloader. Win32.WinShow.g

Троянская программа, загружающая из интернета файлы без ведома пользователя. Является приложением Windows (PE EXE-файл). Имеет размер 5632 байта. Упакована при помощи UPX. Распакованный размер — около 20 КБ. Написана на С++.

Деструктивная активность

После запуска троянец создает следующие папки:

%UserProfile%\Application Data\winshow
%UserProfile%\Application Data\winlink

После чего скачивает файлы со следующих URL:

http://00hq.com/update/winshow.dll
http://winlink.biz/winlink.dll
http://winlink.ws/winlink.dll

И сохраняет их в созданные папки:

%UserProfile%\Application Data\winshow\winshow.dll
%UserProfile%\Application Data\winlink\winlink.dll

После удачного сохранения троянец подключает скачанные файлы и вызывает из них функцию:

 
DllRegisterServer

В противном случае загрузка повторяется каждые 5 минут.

На момент создания описания файлы с указанных адресов не скачивались.

Другие названия

Trojan-Downloader.Win32.WinShow.g («Лаборатория Касперского») также известен как: TrojanDownloader.Win32.WinShow.g («Лаборатория Касперского»), Download.Trojan (Symantec), Trojan.WinShow (Doctor Web), TrojanDownloader:Win32/Winshow (RAV), TROJ_WINSHOW.A (Trend Micro), TR/WinShow.G.1 (H+BEDV), Win32:Trojan-gen. (ALWIL), Downloader.Winshow.G (Grisoft), Trojan.Win32.Winshow.A (SOFTWIN), Trojan.Downloader.W32.Winshow.G (ClamAV), Adware/Winshow (Panda), Win32/TrojanDownloader.WinShow.A (Eset)