Троянская программа, которая осуществляет скачивание с Интернет и установку на компьютер пользователя вредоносных программ без ведома пользователя.
Деструктивная активность
После запуска троянца происходит чтение последних 255 байт своего тела. В них в зашифрованном виде расположены ссылки на файлы для скачивания (%URL%). После расшифровки проверяется правильность строки со ссылкой (первый символ должен быть "H" или "h"). В данном случае это следующие ссылки:
* http://marina.users.*************.com/1/1.exe - детектируется
Антивирусом Касперского как Trojan-Spy.Win32.BZub.gd, 96984 байта * http://marina.users.*************.com/1/zupacha.exe - детектируется
Антивирусом Касперского как Trojan-Proxy.Win32.Cimuz.ci, 17920 байт * http://marina.users.*************.com/1/chii.exe - детектируется
Антивирусом Касперского как Trojan-Proxy.Win32.Cimuz.bw, 48128 байт
Загруженные файлы сохраняются в корневом каталоге Windows (%WinDir%).
После загрузки каждого из файлов происходит его запуск.
Разбираем кейсы, делимся опытом, учимся на чужих ошибках