Троянская программа-загрузчик. Является приложением Windows (PE EXE-файл).
Деструктивная активность
После запуска троянец извлекает из своего тела файл и записывает его в каталог C:\Windows под именем «inetloader.dll».
Созданная библиотека регистрируется в системе с помощью приложения «regsrv32.exe». Библиотека скачивает из Интернета файл http://soft.*****incash.com/loader/run.xml, в котором содержатся ссылки на другие файлы и пути для их сохранения. Далее троянец скачивает эти файлы.
На момент создания описания в файле «run.xml» были заданы ссылки на следующие файлы:
* http://soft.*****incash.com/contextual/ticads.exe —
детектируется антивирусом Касперского как Trojan-Downloader.Win32.Small.ddp; * http://soft.*****incash.com/popups/tpopup.exe —
детектируется антивирусом Касперского как not-a-virus:AdWare.Win32.Trustin.a; * http://soft.*****incash.com/se/tse.exe —
детектируется антивирусом Касперского как Trojan-Downloader.Win32.Small.ddp; * http://soft.*****incash.com/tcleaner/tctool.exe —
детектируется антивирусом Касперского как Trojan-Downloader.Win32.WarSpy.d; * http://soft.*****incash.com/toolbar/trustinbar.exe —
детектируется антивирусом Касперского как not-a-virus:AdWare.Win32.Azesearch.h; * http://soft.*****incash.com/url/url.exe —
детектируется антивирусом Касперского как Trojan-Downloader.Win32.Small.ddp.
Скачанные файлы сохраняются в корневом каталоге Windows:
%windir%\ticads.exe
%windir%\tpopup.exe
%windir%\tse.exe
%windir%\tctool.exe
%windir%\trusnibar.exe
%windir%\url.exe
Собираем и анализируем опыт профессионалов ИБ