Trojan-Downloader Win32.Nurech.l

Троянская программа, которая осуществляет загрузку из интернета и запуск на компьютере пользователя других вредоносных программ. Программа является приложением Windows (PE EXE-файл). Имеет размер 5554 байта. Упакована при помощи FSG. Распакованный размер — около 32 КБ. Написана на C++.

Первоначально данный троянец был разослан при помощи спам рассылки. Ниже приведен пример зараженного письма:

После запуска троянец производит чтение последних 255 байт своего тела. В них в зашифрованном виде расположены ссылки на файлы для скачивания (%URL%). После расшифровки проверяется правильность строки со ссылкой (первый символ должен быть «H» или «h»). В случае анализируемого объекта это следующие ссылки:

• http://marina.users.*************.com/1/1.exe — детектируется Антивирусом Касперского как Trojan-Spy.Win32.BZub.gd, 96984 байта;
• http://marina.users.*************.com/1/zupacha.exe — детектируется Антивирусом Касперского как Trojan-Proxy.Win32.Cimuz.ci, 17920 байт;
• http://marina.users.*************.com/1/chii.exe — детектируется Антивирусом Касперского как Trojan-Proxy.Win32.Cimuz.bw, 48128 байт.

Загруженные файлы сохраняются в корневом каталоге Windows (%WinDir%).

После загрузки каждого из файлов происходит их последующий запуск на исполнение.