Security Lab

Trojan-Dropper.Win32. Vedio.hh

Trojan-Dropper.Win32. Vedio.hh

Троянская программа, которая устанавливает и запускает другое программное обеспечение на зараженном компьютере без ведома пользователя.

Троянская программа, которая устанавливает и запускает другое программное обеспечение на зараженном компьютере без ведома пользователя. Программа является приложением Windows (PE EXE-файл). Имеет размер 19810 байт. Упакована при помощи MEW. Распакованный размер – около 131 КБ. Написана на С++.


name="doc3">

Деструктивная активность

После запуска троянец завершает процесс с именем: 

wow.exe
Далее троянец получает путь к каталогу установленной игры "World of Warcraft", прочитав значение параметра "InstallPath" из ключа системного реестра:
[HKLM\SOFTWARE\Blizzard Entertainment\World of Warcraft]
"InstallPath" = "<каталог установленной игры>"
В полученный каталог троянец извлекает из своего тела вредоносный файл с именем "msvcr80.dat" и устанавливает ему атрибуты "архивный" и "скрытый": 
<каталог установленной игры>\msvcr80.dat
Данный файл имеет размер 24040 байт и детектируется антивирусом Касперского как Trojan-PSW.Win32.Kykymber.eae.

После этого троянец извлекает из своего тела файл в системный каталог Windows с именем "std<rnd>.ime" (где <rnd> - случайная цифра или буква латинского алфавита, например, "4" или "D") 

%System%\std<rnd>.ime
Данный файл имеет размер 24040 байт и детектируется антивирусом Касперского как Trojan-PSW.Win32.Kykymber.eae.

После этого модифицирует системные файлы с именем "d3d9.dll": 

%System%\d3d9.dll
%System%\dllcache\d3d9.dll
Таким образом при запуске приложений, использующих данную библиотеку, на исполнение будет запускаться вредоносная библиотека, извлеченная троянцем.

При модификации системного файла троянец создает файл "d3d9.dll.dat": 

%System%\d3d9.dll.dat
Также троянец создает копии оригинального системного файла "d3d9.dll" под именем "d3d9.dll.bak": 
%System%\d3d9.dll.bak
%System%\dllcache\d3d9.dll.bak
Если троянец обнаруживает запущенным процесс с именем "360tray.exe", тогда он внедряет вредоносный код в первый из обнаруженных процессов, таким образом обходя защиту антивирусной программы : 
explorer.exe
iexplorer.exe
ctfmon.exe
Вредоносный код дублирует манипуляции с системным файлом.

Далее троянец создает во временном каталоге текущего пользователя Windows файл командного интерпретатора с именем "tempVidio.bat" и запускает его на исполнение: 

%Temp%\tempVidio.bat
Данный файл имеет размер 172 байта и предназначен для удаления оригинального тела троянца и самого себя.

Ваша цифровая безопасность — это пазл, и у нас есть недостающие детали

Подпишитесь, чтобы собрать полную картину