Security Lab

Trojan-Downloader. Win32.Small.ccm

Trojan-Downloader. Win32.Small.ccm

Троянец-загрузчик, который без ведома пользователя скачивает из сети Интернет другое программное обеспечение.

Троянец-загрузчик, который без ведома пользователя скачивает из сети Интернет другое программное обеспечение. Является приложением Windows (PE EXE- файл). Имеет размер около 9 КБ. Упакован с помощью PE-Compact, распакованный размер — около 22 КБ.

Инсталляция

При запуске вирус копирует свой исполняемый файл в системный каталог Windows:

%System%\q<случайное_число>q.exe

Из своего тела троянец извлекает следующий файл размером 6656 байт:

%System%\z<случайное_число>z.dll

С целью автоматического запуска при каждом последующем старте ОС вирус добавляет ссылку на собственный исполняемый файл в ключ автозапуска системного реестра:

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"tiwc" = "%System%\q<случайное_число>q.exe"

После этого оригинальный файл запуска удаляется.

Деструктивная активность

Троянец создает следующие параметры в ключе реестра:

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion]
xfv = http://www.original-ie-cards.com/loads/**/svchost.exe
irf = http://amsterdam.9966.org/**/loads/

Компонент «%System%\z<случайное_число>z.dll» добавляет себя во все запущенные в системе процессы, при этом немедленно выгружаясь, если имя процесса отлично от «iexplore.exe».

Будучи подгруженным в «iexplore.exe», троянский компонент производит следующие действия:

* Открывает URL, заданный в параметре ключа реестра:

      [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion]
irf = http://amsterdam.9966.org/**/loads/

* Скачивает файл по ссылке из параметра ключа реестра:

      [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion]
xfv = http://www.original-ie-cards.com/loads/**/svchost.exe

* Сохраняет загруженный файл в системный каталог Windows под именем:

      %System%\a<случайное_число>a.exe 

Данный файл запускается на исполнение.

(На момент создания описания указанная ссылка не работала.)

Вредоносная программа создает параметр в ключе реестра, где хранит свои настройки:

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion]
38fh

Также троянец осуществляет поиск в системе окон со следующими заголовками:

Warning: Components Have Changed
Warning: some components changed
Hidden Process Requests Network Access
Allow all activities for this application

В них имитируются нажатия на кнопку «ОК» или «Unblock».

Ваша цифровая безопасность — это пазл, и у нас есть недостающие детали

Подпишитесь, чтобы собрать полную картину