Trojan-Downloader. Win32.Stubby.a

Троянская программа, которая загружает файлы из интернета без ведома пользователя и запускает их на выполнение. Программа является приложением Windows (PE-EXE файл). Имеет размер 81 920 байт. Написана на С++

Инсталляция

Для автоматического запуска при следующем старте Windows троянец добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
 "<имя файла троянца без расширения>"="<полный путь к файлу троянца>"

Деструктивная активность

После запуска троянец регистрируется на сайте, открывая следующий URL:

http://belt.*****erinternet.com/bi/servlet/Belt.....

В ответ на запрос троянец получает ссылки для скачивания файлов из интернета. После чего троянец скачивает файлы по полученным ссылкам во временную папку текущего пользователя. Скачанные файлы сохраняются с расширениями EXE и CAB. Файлы, имеющие расширение EXE, запускаются троянцем после успешной закачки. Файлы, имеющие расширение CAB, устанавливаются в систему с помощью вызова функции ExecuteCab.

Другие названия

Trojan-Downloader.Win32.Stubby.a («Лаборатория Касперского») также известен как: TrojanDownloader.Win32.Stubby.a («Лаборатория Касперского»), Trojan.Stubby.113 (Doctor Web), TrojanDownloader:Win32/Stubby.A (RAV), TR/Dldr.Stubby.C (H+BEDV), Win32:Trojan-gen. (ALWIL), Downloader.Stubby.A (Grisoft), Trojan.Downloader.Stubby.A (SOFTWIN), Trojan.Stubby.113 (ClamAV), Trj/Downloader.L (Panda), Win32/TrojanDownloader.Stubby.A (Eset)