Security Lab

Trojan-Downloader.Win32. Small.yaa

Trojan-Downloader.Win32. Small.yaa

Троянская программа, загружающая файлы из сети Интернет без ведома пользователя и запускающая их. Является приложением Windows (PE-EXE файл).

Троянская программа, загружающая файлы из сети Интернет без ведома пользователя и запускающая их. Является приложением Windows (PE-EXE файл). Имеет размер 4096 байт. Упакована PE_Patch, UPack. Распакованный размер – около 102 КБ. Написана на C++.


name="doc3">

Деструктивная активность

После запуска троянец выполняет следующие действия:

  • для контроля уникальности своего процесса в системе создает уникальный идентификатор с именем:
    _NBA_DOWNLOAD_MUTEX_1_
  • Запускает процесс:
    %System%\winhlp32.exe
  • Создает в корне диска C: каталог:
    C:\<rnd>
    где <rnd> – восьмизначное шестнадцатеричное число, сформированное на основании текущего системного времени.

    Каталог создается с атрибутами "скрытый" (hidden) и "системный" (system).

  • Проверяет имя своего оригинального файла. Если это имя "userinit.exe", то троянец считывает первые 4096 байт из следующих файлов:
    %WinDir%\twunk_16.exe
      %WinDir%\twunk_32.exe
      %WinDir%\winhelp.exe
      %WinDir%\winhlp32.exe
      %System%\ftp.exe
      %System%\command.com
      %System%\edit.com
      %System%\netstat.exe
      %System%\calc.exe
      %WinDir%\hh.exe
      
    и записывает полученные данные в файл:
    C:\<rnd>\userinit.exe
    Затем троянец пытается запустить созданный файл.
  • После паузы в 30 секунд загружает из сети Интернет файл по следующей ссылке:
    http://www.m***78.cn/new.txt
    (На момент создания описания ссылка не работала)

    Файл сохраняется в системе как

    C:\<rnd>\<rnd>
    и содержит ссылки для загрузки на зараженный компьютер других вредоносных файлов. По полученным ссылкам троянец загружает файлы, сохраняя их в каталоге "C:\<rnd>" под случайными именами.

    В случае успешной загрузки файлы запускаются на выполнение. После этого троянец завершает свою работу.

Антивирус для мозга!

Лечим цифровую неграмотность без побочных эффектов

Активируйте защиту — подпишитесь