Security Lab

Trojan-Downloader. Win32.Nurech.l

Trojan-Downloader. Win32.Nurech.l

Троянская программа, которая осуществляет скачивание с Интернет и установку на компьютер пользователя вредоносных программ без ведома пользователя.

Троянская программа, которая осуществляет скачивание с Интернет и установку на компьютер пользователя вредоносных программ без ведома пользователя. Программа является приложением Windows (PE EXE-файл). Имеет размер 5554 байт. Упакована FSG 2.0. Распакованный размер - 32 КБ. Написана на C++.

Деструктивная активность

После запуска троянца происходит чтение последних 255 байт своего тела. В них в зашифрованном виде расположены ссылки на файлы для скачивания (%URL%). После расшифровки проверяется правильность строки со ссылкой (первый символ должен быть "H" или "h"). В данном случае это следующие ссылки:

      * http://marina.users.*************.com/1/1.exe - детектируется 
Антивирусом Касперского как Trojan-Spy.Win32.BZub.gd, 96984 байта * http://marina.users.*************.com/1/zupacha.exe - детектируется
Антивирусом Касперского как Trojan-Proxy.Win32.Cimuz.ci, 17920 байт * http://marina.users.*************.com/1/chii.exe - детектируется
Антивирусом Касперского как Trojan-Proxy.Win32.Cimuz.bw, 48128 байт

Загруженные файлы сохраняются в корневом каталоге Windows (%WinDir%).

После загрузки каждого из файлов происходит его запуск.

Ищем баги вместе! Но не те, что в продакшене...

Разбираем кейсы, делимся опытом, учимся на чужих ошибках

Зафиксируйте уязвимость своих знаний — подпишитесь!