Trojan-Downloader.Win32.Harnig.al

Trojan-Downloader.Win32.Harnig.al («Лаборатория Касперского») также известен как: TrojanDownloader.Win32.Harnig.al («Лаборатория Касперского»), Downloader-PZ (McAfee), Downloader.Trojan (Symantec), Trojan.DownLoader.909 (Doctor Web), Troj/Harnig-AL (Sophos), TrojanDownloader:Win32/Harnig.AM (RAV), TROJ_HARNIG.AL (Trend Micro), TR/Dldr.Harnig.AL (H+BEDV), Win32:Trojano-536 (ALWIL), Downloader.Harnig.AF (Grisoft), Trojan.Downloader.Harnig.al (SOFTWIN), Trojan.Qhost.O (ClamAV), Trj/Harnig.AD (Panda), Win32/TrojanDownloader.Harnig.AL (Eset)

Троянская программа, загружающая из интернета другие файлы. Является приложением Windows (PE EXE-файл), имеет размер около 4КБ, упакована UPX. Размер распакованного файла около 10КБ.

Имеет функцию загрузки файлов из интернета и запуска их на компьютере пользователя. Троянец может загружать и сохранять в системном или корневом каталоге Windows следующие файлы:

  
      * dktibs.exe
      * mstasks1.exe
      * mstasks2.exe
      * mstasks3.exe
      * systime.exe
      * test
      * toolbar.exe 

Harnig.al завершает процессы, содержащие в именах строки:

  
      * actalert.exe
      * alchem.exe
      * bargains.exe
      * bdl74125.exe
      * bitmap.tmp
      * exdl.exe
      * exploit.exe
      * file.exe
      * fnnmqi.exe
      * fucker.exe
      * host32.exe
      * iinstall.exe
      * Installer2.exe
      * intron.exe
      * intronet.exe
      * ir.exe
      * istsvc.exe
      * loadclean.exe
      * lpt.exe
      * msxmidi.exe
      * optimize.exe
      * PEPEmsPE.exe
      * powerscan.exe
      * printer.exe
      * printer32.exe
      * services.exe
      * sidefind.exe
      * s-PEPE.exe
      * telnet.exe
      * teur.exe
      * ttgkirnl.exe
      * twink64.exe
      * usb.exe
      * Winad.exe
      * WinClt.exe
      * winmm64.exe
      * ykyrtws.exe 

Троянец изменяет файл %System%\drivers\etc\hosts, дописывая в него нижеприведенный текст и, тем самым, перенаправляя обращения к данным сайтам на 127.0.0.3:

  
  127.0.0.3 aaasexypics.com
  127.0.0.3 allforadult.com
  127.0.0.3 autoescrowpay.com
  127.0.0.3 awmdabest.com
  127.0.0.3 counter.sexmaniack.com
  127.0.0.3 iframe.biz
  127.0.0.3 newiframe.biz
  127.0.0.3 n-glx.s-redirect.com
  127.0.0.3 pizdato.biz
  127.0.0.3 sexfiles.nu
  127.0.0.3 vesbiz.biz
  127.0.0.3 virgin-tgp.net
  127.0.0.3 www.aaasexypics.com
  127.0.0.3 www.allforadult.com
  127.0.0.3 www.autoescrowpay.com
  127.0.0.3 www.awmdabest.com
  127.0.0.3 www.iframe.biz
  127.0.0.3 www.newiframe.biz
  127.0.0.3 www.pizdato.biz
  127.0.0.3 www.sexfiles.nu
  127.0.0.3 www.vesbiz.biz
  127.0.0.3 www.virgin-tgp.net
  127.0.0.3 x.full-tgp.net