Trojan-Downloader. Win32.Nurech.bf

Троянская программа, которая загружает на компьютер файлы из сети Интернет без ведома пользователя. Является приложением Windows (PE EXE-файл). Имеет размер 23040 байт.

Инсталляция

При запуске троянец копирует свой исполняемый файл в системный каталог Windows:

%System%\isca.exe

В ключ автозапуска системного реестра добавляется параметр:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"gtydf" = "%System%\iscca.exe"

Поскольку имя исполняемого файла указано неверно, вирус не будет автоматически запускаться при каждом последующем старте операционной системы.

Также троянец создает следующий параметр в ключе реестра:

[HKLM\Software\Microsoft\Windows\CurrentVersion]
"wef" = "1f9"

Деструктивная активность

Данная вредоносная программа генерирует файл:

%System%\drivers\qas.tx

Его одержимое представляет собой список URL, по которым располагаются другие файлы:

http://starcleaningservice.com.au/images***
http://intercitiprojects.com.au/images***
http://invitech.net/images/buttons***
http://releaseforlife.com/images***
http://hopemanor.com/images***
http://cameouk.co.uk***

(На момент создания описания ни одна из ссылок не работала.)

Троянская программа скачивает файлы по заданным ссылкам и сохраняет их в системный каталог Windows под различными именами. Все загруженные файлы запускаются на исполнение.

Также троянец прекращает работу следующих процессов в системе:

outpost.exe
lspfix.exe
kavpf.exe
zlclient.exe
kpf4ss.exe