Trojan-Downloader.Win32. FraudLoad.gsw
Trojan-Downloader.Win32. FraudLoad.gsw
Alexander Antipov
Троянская программа, загружающая файлы из сети Интернет без ведома пользователя и запускающая их.
Троянская программа, загружающая файлы из сети Интернет без ведома пользователя и запускающая их. Является приложением Windows (PE-EXE файл). Имеет размер 45056 байт. Написана на C++.
name="doc3">
Деструктивная активность
После запуска троянец выполняет следующие действия:
- выгружает из системной памяти процессы:
MEGAPROTECT.EXE
MegaRun.exe - Вызывает функцию "DllUnregisterServer" из библиотек:
%System%\MegaProtectX.ocx
%Program Files%\MegaProtect\Megahk.dll
%Program Files%\MegaProtect\Megab.dll - Удаляет ключ системного реестра:
[HKLM\Software\MicroSoft\Windows\CurrentVersion\Run]
"MegaProtect" - Удаляет ветви системного реестра:
[HKCU\Software\PrivCom]
[HKLM\Software\Microsoft\Code Store Database\
Distribution Units\{54E2DF5C-D4F3-439D-AED6-33DD5E4F2925}]
[HKLM\Software\Microsoft\Windows\CurrentVersion\
Uninstall\MegaProtect] - Загружает из сети Интернет файл по следующей ссылке:
http://dow***o.kr/download/PVCNinstRBRun.exe
Загруженный файл сохраняется в системе как%Program Files%\PVCNinstRBRun.exe
и после успешной загрузки запускается на выполнение.На момент создания описания файл не загружался.
Далее троянец создает в каталоге %System% сценарий командного интерпретатора "DelUS.bat", запускает его и завершает свою работу — данный сценарий удаляет оригинальный файл троянца и самоуничтожается.
Ищем уязвимости в системе и новых подписчиков!
Первое — находим постоянно, второе — ждем вас