Trojan-Downloader.Win32. Small.ddp

Троянская программа-загрузчик. Является приложением Windows (PE EXE-файл). Написана на Microsoft Visual C++. Ничем не упакована. Размер зараженных файлов варьируется от 20 до 27 КБ.

Деструктивная активность

После запуска троянец извлекает из своего тела файл и записывает его в каталог C:\Windows под именем «inetloader.dll».

Созданная библиотека регистрируется в системе с помощью приложения «regsrv32.exe». Библиотека скачивает из Интернета файл http://soft.*****incash.com/loader/run.xml, в котором содержатся ссылки на другие файлы и пути для их сохранения. Далее троянец скачивает эти файлы.

На момент создания описания в файле «run.xml» были заданы ссылки на следующие файлы:

      * http://soft.*****incash.com/contextual/ticads.exe — 
детектируется антивирусом Касперского как Trojan-Downloader.Win32.Small.ddp;
      * http://soft.*****incash.com/popups/tpopup.exe — 
детектируется антивирусом Касперского как not-a-virus:AdWare.Win32.Trustin.a;
      * http://soft.*****incash.com/se/tse.exe — 
детектируется антивирусом Касперского как Trojan-Downloader.Win32.Small.ddp;
      * http://soft.*****incash.com/tcleaner/tctool.exe — 
детектируется антивирусом Касперского как Trojan-Downloader.Win32.WarSpy.d;
      * http://soft.*****incash.com/toolbar/trustinbar.exe — 
детектируется антивирусом Касперского как not-a-virus:AdWare.Win32.Azesearch.h;
      * http://soft.*****incash.com/url/url.exe — 
детектируется антивирусом Касперского как Trojan-Downloader.Win32.Small.ddp.
  

Скачанные файлы сохраняются в корневом каталоге Windows:

%windir%\ticads.exe
%windir%\tpopup.exe
%windir%\tse.exe
%windir%\tctool.exe
%windir%\trusnibar.exe
%windir%\url.exe