Security Lab

Trojan-Downloader. Win32.Small.dam

Trojan-Downloader. Win32.Small.dam

Троянская программа, которая осуществляет загрузку из Интернета и запуск на компьютере пользователя других вредоносных программ.

Троянская программа, которая осуществляет загрузку из Интернета и запуск на компьютере пользователя других вредоносных программ. Программа является приложением Windows (PE EXE-файл). Размер зараженных файлов существенно варьируется.

Первоначально данный троянец был распространен при помощи спам-рассылки.

Характеристики зараженных писем

Тема письма.

Выбирается произвольным образом из списка:

    * A killer at 11, he's free at 21 and kill again!
      * U.S. Secretary of State Condoleezza Rice has kicked 
German Chancellor Angela Merkel * British Muslims Genocide * Naked teens attack home director * 230 dead as storm batters Europe * Re: Your text * Radical Muslim drinking enemies's blood * Chinese missile shot down Russian satellite * * Chinese missile shot down USA aircraft * Chinese missile shot down USA satellite * Russian missile shot down USA aircraft * Russian missile shot down USA satellite * Russian missile shot down Chinese aircraft * Russian missile shot down Chinese satellite * Saddam Hussein safe and sound! * Saddam Hussein alive! * Venezuelan leader: "Let's the War beginning" * Fidel Castro dead.

Имя файла вложения.

Выбирается произвольным образом из списка:

    * FullVideo.exe
      * Full Story.exe
      * Video.exe
      * Read More.exe
      * FullClip.exe
      * GreetingPostcard.exe
      * MoreHere.exe
      * FlashPostcard.exe
      * GreetingCard.exe
      * ClickHere.exe
      * ReadMore.exe
      * FlashPostcard.exe
      * FullNews.exe
  

Инсталляция

После запуска троянская программа создает следующие файлы в системном каталоге Windows:

    * %System%\peers.ini
* %System%\wincom32.sys - детектируется Антивирусом Касперского
как Rootkit.Win32.Agent.dh, размер - 41 728 байт

Троянец регистрирует свои файлы в следующих ключах системного реестра:

[HKLM\System\CurrentControlSet\Services\wincom32]
[HKLM\System\CurrentControlSet\Enum\Root\LEGACY_WINCOM32]

Деструктивная активность

Троянец пытается загрузить из интернета другие файлы и запустить их на компьютере пользователя.

По содержащимся в теле троянца ссылкам злоумышленники могут разместить любые другие вредоносные программы.

Ищем уязвимости в системе и новых подписчиков!

Первое — находим постоянно, второе — ждем вас

Эксплойтните кнопку подписки прямо сейчас