Trojan-Downloader.Win32. Nurech.bg

Троянская программа, предназначенная для загрузки без ведома пользователя файлов из сети Интернет. Является приложением Windows (PE EXE-файл). Имеет размер 23552 байта.

Инсталляция

При запуске троянец копирует свой исполняемый файл в системный каталог Windows:

%System%\iisca.exe

Ссылка на файл добавляется в ключ автозапуска системного реестра:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
gtydf="iisca.exe"

Также вирус создает следующий параметр в ключе реестра:

[HKLM\Software\Microsoft\Windows\CurrentVersion]
"wef"

Деструктивная активность

Троянец генерирует файл, куда записывает перечень URL:

%System%\drivers\qias.tx

Содержимое созданного файла таково:

http://knowledgecentral.co.uk/images***
http://kimmaguire.com/org/camden***
http://fruitsinsuits.com.hk/images***
http://marketing-know-how.com/just***
http://abot.org/iad***
http://www.berkili-maschinen.de/img***
http://www.renatekoch.com/html***
http://81.95.147.138***

По данным ссылкам располагаются файлы для загрузки. Троянская программа скачивает их и сохраняет в системный каталог Windows под различными именами, после чего запускает на исполнение.

На момент создания описания по некоторым из перечисленных ссылок находились файлы, детектирующиеся Антивирусом Касперского как Trojan-Spy.Win32.BZub.ir.

В дополнение троянец завершает следующие процессы:

outpost.exe
lspfix.exe
kavpf.exe
zlclient.exe
kpf4ss.exe