Trojan-Downloader.Win32. WinShow.w

Троянская программа, загружающая из интернета файлы без ведома пользователя. Является приложением Windows (PE EXE-файл). Имеет размер 5632 байта. Упакована при помощи UPX. Распакованный размер — около 20 КБ. Написана на С++.

Деструктивная активность

После запуска троянец создает следующую папку:

%UserProfile%\Application Data\iefeatsl

После чего скачивает файлы со следующих URL:

http://00hq.com/feat/iefeatsl.dll
http://winlink.biz/feat/iefeatsl.dll
http://00hq.com/feat/msiesh.dll
http://winlink.biz/feat/msiesh.dll

И сохраняет их в созданной папке:

%UserProfile%\Application Data\iefeatsl\msiesh.dll
%UserProfile%\Application Data\iefeatsl\iefeatsl.dll

После удачного сохранения троянец подключает скачанные файлы и вызывает из них функцию:

DllRegisterServer

В противном случае загрузка повторяется каждые 5 минут.

На момент создания описания файлы с указанных адресов не скачивались.

Другие названия

Trojan-Downloader.Win32.WinShow.w («Лаборатория Касперского») также известен как: TrojanDownloader.Win32.WinShow.w («Лаборатория Касперского»), TrojanDownloader:Win32/WinShow.F (RAV), TROJ_WINSHOW.W (Trend Micro), Win32:Trojan-gen. (ALWIL), Downloader.Winshow.AA (Grisoft), Trojan.Downloader.WinShow.F (SOFTWIN), Adware/SearchAid (Panda), Win32/TrojanDownloader.WinShow.W (Eset)