Trojan-Downloader.Win32. Nurech.bm

Троянская программа, предназначенная для загрузки на компьютер файлов из сети Интернет без ведома пользователя. Является приложением Windows (PE EXE-файл). Имеет размер 20480 байт.

Инсталляция

При запуске троянец копирует свой исполняемый файл в системный каталог Windows:

%System%\isxa.exe

Ссылка на данный файл добавляется в ключ автозапуска системного реестра:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"isxa" = "isxa.exe"

Также вирус создает следующий параметр в ключе реестра:

[HKLM\Software\Microsoft\Windows\CurrentVersion]
"TTT"

Деструктивная активность

Троянская программа генерирует следующий файл:

  %System%\drivers\c656.tx

В него записывается перечень ссылок, по которым располагаются файлы для закачки:

http://flusentiere.de/images***
http://www.renatekoch.com***
http://www.berkili-maschinen.de***
http://adolf-seeger.de/rs***
http://thaibaa.org***
http://thaifisherfolk.com***
http://alsiroyal.de/img***
http://ganzheitliche-kurse.de***

Вирус загружает файлы по данным URL и сохраняет их в системный каталог Windows под различными именами. Далее скачанные файлы запускаются на исполнение.

На момент создания описания по некоторым из перечисленных ссылок находились файлы, детектирующиеся Антивирусом Касперского как Trojan-Spy.Win32.BZub.ip.