Security Lab

Trojan-Downloader.Win32. Small.ddp

Trojan-Downloader.Win32. Small.ddp

Троянская программа-загрузчик. Является приложением Windows (PE EXE-файл).

Троянская программа-загрузчик. Является приложением Windows (PE EXE-файл). Написана на Microsoft Visual C++. Ничем не упакована. Размер зараженных файлов варьируется от 20 до 27 КБ.

Деструктивная активность

После запуска троянец извлекает из своего тела файл и записывает его в каталог C:\Windows под именем «inetloader.dll».

Созданная библиотека регистрируется в системе с помощью приложения «regsrv32.exe». Библиотека скачивает из Интернета файл http://soft.*****incash.com/loader/run.xml, в котором содержатся ссылки на другие файлы и пути для их сохранения. Далее троянец скачивает эти файлы.

На момент создания описания в файле «run.xml» были заданы ссылки на следующие файлы:

      * http://soft.*****incash.com/contextual/ticads.exe — 
детектируется антивирусом Касперского как Trojan-Downloader.Win32.Small.ddp; * http://soft.*****incash.com/popups/tpopup.exe —
детектируется антивирусом Касперского как not-a-virus:AdWare.Win32.Trustin.a; * http://soft.*****incash.com/se/tse.exe —
детектируется антивирусом Касперского как Trojan-Downloader.Win32.Small.ddp; * http://soft.*****incash.com/tcleaner/tctool.exe —
детектируется антивирусом Касперского как Trojan-Downloader.Win32.WarSpy.d; * http://soft.*****incash.com/toolbar/trustinbar.exe —
детектируется антивирусом Касперского как not-a-virus:AdWare.Win32.Azesearch.h; * http://soft.*****incash.com/url/url.exe —
детектируется антивирусом Касперского как Trojan-Downloader.Win32.Small.ddp.

Скачанные файлы сохраняются в корневом каталоге Windows:

%windir%\ticads.exe
%windir%\tpopup.exe
%windir%\tse.exe
%windir%\tctool.exe
%windir%\trusnibar.exe
%windir%\url.exe

Alert! Зафиксирована утечка экспертных знаний!

Собираем и анализируем опыт профессионалов ИБ

Подключитесь к потоку конфиденциальной информации!