Trojan-Downloader.Win32. FraudLoad.xdau

Троянская программа, загружающая файлы из сети Интернет без ведома пользователя и запускающая их. Является приложением Windows (PE-EXE файл). Имеет размер 22528 байт. Упакована неизвестным упаковщиком. Распакованный размер – около 51 КБ. Написана на C++.

name="doc3">

Деструктивная активность

После запуска троянец получает идентификатор набора национальных параметров LCID, и проверяет первичный идентификатор национального языка. Если он соответствует значению "Russian", то троянец удаляет свой оригинальный файл и завершает свою работу. В противном случае, троянец загружает из сети Интернет файлы по следующим ссылкам:

http://aa***rogen.com/ufwnltbz/hyfahpxiq.php?adv=adv447
http://aa***rogen.com/ufwnltbz/hypwhc.php?adv=adv447
http://aa***rogen.com/ufwnltbz/oriqbjdp.php?adv=adv447
http://aa***rogen.com/ufwnltbz/kkemu.php?adv=adv447
http://aa***rogen.com/ufwnltbz/fwevpovto.php?adv=adv447
http://aa***rogen.com/ufwnltbz/fwelcx.php?adv=adv447
http://aa***rogen.com/ufwnltbz/yptozgozmu.php?adv=adv447
http://aa***rogen.com/ufwnltbz/imwaic.php?adv=adv447
http://aa***rogen.com/ufwnltbz/gnemtrzxsn.php?adv=adv447
http://aa***rogen.com/ufwnltbz/wzdcjrp.php?adv=adv447
http://aa***rogen.com/ufwnltbz/fjnvpk.php?adv=adv447
http://aa***rogen.com/ufwnltbz/rvqxfn.php?adv=adv447
http://aa***rogen.com/ufwnltbz/txrzxs.php
?adv=adv447&code1=LNLF&code2=<rnd1>&id=<rnd2>&p=1

где <rnd1>, <rnd2> – случайные десятичные числа.

Загруженные файлы сохраняются в каталоге хранения временных файлов пользователя "%Temp%" под случайными именами. На момент создания описания файлы не загружались.

Далее троянец для удаления своего оригинального файла после завершения его работы запускает системный командный интерпретатор "CMD.EXE" со следующими параметрами:

/c del <полный путь к оригинальному файлу троянца> > nul

После этого троянец завершает свою работу.