Trojan.Win32. AntiNOD.b

Троянская программа. Является приложением Windows (PE EXE-файл). Имеет размер 265728 байт. Упакована с помощью UPX, распакованный размер — около 600 КБ.

Инсталляция

При запуске троянец копирует свой исполняемый файл следующим образом:

    * C:\Program Files\Kazaa\My Shared Folder\Nod32_3_Setup.exe
    * C:\Program Files\eMule\incoming\Nod32_3_Setup.exe
    * C:\Program Files\grokster\my grokster\Nod32_3_Setup.exe
    * C:\Program Files\bearshare\shared\Nod32_3_Setup.exe
    * C:\program files\ICQ\Shared Folder\Nod32_3_Setup.exe
    * C:\Program Files\winmx\shared\32_3_Setup.exe
    * C:\Program Files\morpheus\my shared folder\Nod32_3_Setup.exe
    * C:\Program Files\limewire\shared\Nod32_3_Setup.exe
    * C:\Program Files\XoloX\Downloads\Nod32_3_Setup.exe
    * C:\Program Files\Tesla\Files\Nod32_3_Setup.exe
    * C:\Program Files\Nod_IMON.exe
    * C:\Regards to Richard Marko, I wish that Advanced Heuristic of NOD will NOT detect this worm.f

Также ссылка на исполняемый файл добавляется в ключ автозапуска системного реестра:

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NodIMON" = "C:\Program Files\Nod_IMON.exe"

Таким образом, вирус будет автоматически запускаться при каждой последующей загрузке Windows.

Деструктивная активность

Троянец завершает следующие процессы:

C:\Program Files\ESET\nod32.exe
C:\Program Files\ESET\nod32kui.exe
C:\Program Files\ESET\nod32krn.exe

А также отображает на экране сообщение с текстом:

BUAHAHAHAHA!!! [-Byt3Cr0W is here!!!-]---WAIT FOR F..

Другие названия

Trojan.Win32.AntiNOD.b («Лаборатория Касперского») также известен как: Generic Delphi (McAfee), W32.SillyP2P (Symantec), Trojan.Antinod (Doctor Web), Trojan:Win32/Nodfu.B (RAV), TROJ_ANTINOD.B (Trend Micro), TR/AntiNOD.B (H+BEDV), Win32:Trojan-gen. (ALWIL), Trojan.AntiNOD.B (SOFTWIN), Trojan.AntiNOD-2 (ClamAV), W32/Donrow.A.worm (Panda), Win32/Nodfu.B (Eset)