Security Lab

Trojan-Downloader. Win32.Nurech.bf

Trojan-Downloader. Win32.Nurech.bf

Троянская программа, которая загружает на компьютер файлы из сети Интернет без ведома пользователя.

Троянская программа, которая загружает на компьютер файлы из сети Интернет без ведома пользователя. Является приложением Windows (PE EXE-файл). Имеет размер 23040 байт.

Инсталляция

При запуске троянец копирует свой исполняемый файл в системный каталог Windows:

%System%\isca.exe

В ключ автозапуска системного реестра добавляется параметр:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"gtydf" = "%System%\iscca.exe"

Поскольку имя исполняемого файла указано неверно, вирус не будет автоматически запускаться при каждом последующем старте операционной системы.

Также троянец создает следующий параметр в ключе реестра:

[HKLM\Software\Microsoft\Windows\CurrentVersion]
"wef" = "1f9"

Деструктивная активность

Данная вредоносная программа генерирует файл:

%System%\drivers\qas.tx

Его одержимое представляет собой список URL, по которым располагаются другие файлы:

http://starcleaningservice.com.au/images***
http://intercitiprojects.com.au/images***
http://invitech.net/images/buttons***
http://releaseforlife.com/images***
http://hopemanor.com/images***
http://cameouk.co.uk***

(На момент создания описания ни одна из ссылок не работала.)

Троянская программа скачивает файлы по заданным ссылкам и сохраняет их в системный каталог Windows под различными именами. Все загруженные файлы запускаются на исполнение.

Также троянец прекращает работу следующих процессов в системе:

outpost.exe
lspfix.exe
kavpf.exe
zlclient.exe
kpf4ss.exe

Ищем баги вместе! Но не те, что в продакшене...

Разбираем кейсы, делимся опытом, учимся на чужих ошибках

Зафиксируйте уязвимость своих знаний — подпишитесь!