Trojan-Downloader.Win32.Vidlo.q

Trojan-Downloader.Win32.Vidlo.q («Лаборатория Касперского») также известен как: Downloader-ACS (McAfee), Download.Trojan (Symantec), Trojan.DownLoader.3440 (Doctor Web), Troj/Vidlo-Q (Sophos), TROJ_DLOADER.RY (Trend Micro), TR/Dldr.Ldpinch.AK.2 (H+BEDV), Dropped:Trojan.PWS.Ldpinch.AK (SOFTWIN), Trojan.Downloader.Vidlo.q (ClamAV), Suspect File (Panda), Win32/TrojanDownloader.Vidlo.Q (Eset)

Программа представляет собой Windows PE-EXE файл. Имеет размер около 5 КБ и более. Может быть упакована UPX, FSG или другими паковщиками. Размер распакованного файла — около 21 КБ или более в зависимости от программы-упаковщика.

Данный троянец был разослан при помощи спам-рассылки.

После запуска троянец копирует себя в корневой каталог Windows с именем Rechnung.pdf.exe:

  
  %Windir%\Rechnung.pdf.exe

Затем регистрирует этот файл в ключе автозапуска системного реестра:

  [HKCU\Software\Microsoft\Windows\
  CurrentVersion\Run]
   "winldr"="%Windir%\Rechnung.pdf.exe"

При каждой следующей загрузке Windows автоматически запустит файл-троянец.

Троянская программа имеет функцию загрузки других троянцев из интернета и запуска их на компьютере пользователя.

Троянец скачивает файлы 100.exe и hhtz.exe со следующих серверов:

  http://www.h***krafts.net/images
  http://www.k***id.ru/eshop/sys
  http://t***card.com.ua/files
  http://a***oards.com.ua/parsers
  http://www.o***a.ru/test/pics
  http://www.n***k.ru/management/advantage