Security Lab

Trojan-Downloader.Win32. FraudLoad.xfaj

Trojan-Downloader.Win32. FraudLoad.xfaj

Троянская программа, которая без ведома пользователя скачивает на компьютер другое программное обеспечение. Программа является приложением Windows (PE EXE-файл).

Троянская программа, которая без ведома пользователя скачивает на компьютер другое программное обеспечение. Программа является приложением Windows (PE EXE-файл). Имеет размер 18688 байт. Упакована неизвестным упаковщиком. Распакованный размер – около 30 КБ. Написана на C++.


name="doc3">

Деструктивная активность

После запуска троянец выполняет следующие действия:

  • проверяет локализацию системы, если она совпадает с одной из следующих, то троянец завершает свою работу:
    Azerbaijan
      Belarus
      Kazakhstan
      Kyrgyzstan
      Russia
      Uzbekistan
      Ukraine
      Czech Republic
      Poland
  • Создает файл с именем "_favdata.dat" по следующему пути:
    %Documents and Settings%\All Users\Favorites\_favdata.dat
    который содержит следующие строки:
    387
      new
  • Создает запись в системном реестре следующего вида:
     [HKCU\Printers\Connections]
      "affid"="387"
      "subid"="new"
  • Загружает файл по одному из следующих адресов:
    http://www.se***tile.com/a/ad
      http://fas***rch.com/a/ad
      http://www.sea***rtile.com/a/ad
      http://fast***search.com/a/ad

На момент создания описания загружался файл, который имел размер 425472 байта и детектировался Антивирусом Касперского как Trojan.Win32.TDSS.biia.

Загруженный файл сохранялся во временном каталоге текущего пользователя под именем:

%Temp%\TMP<rnd1>.tmp

где <rnd1> - случайная цифровая последовательность.

  • Создает копию загруженного файла с расширением ".exe":
    %Temp%\TMP<rnd1>.exe

После чего запускает созданную копию на выполнение.

По окончанию своей работы троянец удаляет свой оригинальный файл.

Красная или синяя таблетка?

В Матрице безопасности выбор очевиден

Выберите реальность — подпишитесь