Троянская программа, которая загружает файлы из интернета без ведома пользователя и запускает их на выполнение.
Инсталляция
Для автоматического запуска при следующем старте Windows троянец добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"<имя файла троянца без расширения>"="<полный путь к файлу троянца>"
Деструктивная активность
После запуска троянец регистрируется на сайте, открывая следующий URL:
http://belt.*****erinternet.com/bi/servlet/Belt.....
В ответ на запрос троянец получает ссылки для скачивания файлов из интернета. После чего троянец скачивает файлы по полученным ссылкам во временную папку текущего пользователя. Скачанные файлы сохраняются с расширениями EXE и CAB. Файлы, имеющие расширение EXE, запускаются троянцем после успешной закачки. Файлы, имеющие расширение CAB, устанавливаются в систему с помощью вызова функции ExecuteCab.
Другие названия
Trojan-Downloader.Win32.Stubby.a («Лаборатория Касперского») также известен как: TrojanDownloader.Win32.Stubby.a («Лаборатория Касперского»), Trojan.Stubby.113 (Doctor Web), TrojanDownloader:Win32/Stubby.A (RAV), TR/Dldr.Stubby.C (H+BEDV), Win32:Trojan-gen. (ALWIL), Downloader.Stubby.A (Grisoft), Trojan.Downloader.Stubby.A (SOFTWIN), Trojan.Stubby.113 (ClamAV), Trj/Downloader.L (Panda), Win32/TrojanDownloader.Stubby.A (Eset)
Спойлер: она начинается с подписки на наш канал