Троянская программа, загружающая файлы из сети Интернет без ведома пользователя и запускающая их. Является приложением Windows (PE-EXE файл).
Троянская программа, загружающая файлы из сети Интернет без ведома пользователя и запускающая их. Является приложением Windows (PE-EXE файл). Имеет размер 4096 байт. Упакована PE_Patch, UPack. Распакованный размер – около 102 КБ. Написана на C++.
После запуска троянец выполняет следующие действия:
_NBA_DOWNLOAD_MUTEX_1_
%System%\winhlp32.exe
C:\<rnd>где <rnd> – восьмизначное шестнадцатеричное число, сформированное на основании текущего системного времени.
Каталог создается с атрибутами "скрытый" (hidden) и "системный" (system).
%WinDir%\twunk_16.exe %WinDir%\twunk_32.exe %WinDir%\winhelp.exe %WinDir%\winhlp32.exe %System%\ftp.exe %System%\command.com %System%\edit.com %System%\netstat.exe %System%\calc.exe %WinDir%\hh.exeи записывает полученные данные в файл:
C:\<rnd>\userinit.exeЗатем троянец пытается запустить созданный файл.
http://www.m***78.cn/new.txt(На момент создания описания ссылка не работала)
Файл сохраняется в системе как
C:\<rnd>\<rnd>и содержит ссылки для загрузки на зараженный компьютер других вредоносных файлов. По полученным ссылкам троянец загружает файлы, сохраняя их в каталоге "C:\<rnd>" под случайными именами.
В случае успешной загрузки файлы запускаются на выполнение. После этого троянец завершает свою работу.
Лечим цифровую неграмотность без побочных эффектов