Security Lab

Trojan-Downloader.VBS. Agent.aah

Trojan-Downloader.VBS. Agent.aah

Троянская программа, которая без ведома пользователя загружает из сети Интернет другие вредоносные программы и запускает их на выполнение.

Троянская программа, которая без ведома пользователя загружает из сети Интернет другие вредоносные программы и запускает их на выполнение. Программа является сценарием языка Visual Basic Script. Имеет размер 3252 байта.


name="doc3">

Деструктивная активность

После запуска троянец создает каталог:

<my_doc>\<rnd1>
Где:
<rnd1>
- произвольная последовательность букв латинского алфавита, например "VPAVQXCUUNGUFLTJSLNAU" или "CXHCXEKBBUOBMTA";
<my_doc>
- путь к каталогу "Мои документы" для текущего пользователя, который, троянец получает из ключа системного реестра:
[HKCU\Software\Microsoft\Windows\CurrentVersion\
Explorer\Shell Folders\Personal]
Далее троянец загружает файл со следующего URL адреса:
http://kak***now.info/PCDefenderSilentSetup.msi
На момент создания описания ссылка не работала.

Сохраняет загруженный файл в созданном каталоге под именем:

<my_doc>\<rnd1>\<rnd2>
Где <rnd2> - произвольная последовательность букв латинского алфавита, например "YSCXTAFWWQJWIO" или "QKUPLSXOOIBOAGNEMFH";

После этого троянец проверяет, включен ли UAC из ключа реестра:

[HKLM\Software\Microsoft\Windows\CurrentVersion\
Policies\System\EnableLUA]
И если он выключен, то троянец выполняет установку скачанного файла в тихом режиме, без взаимодействия с пользователем, в противном случае пытается запустить на выполнение с повышением привилегий.

Для автоматического удаления каталога со скачанным файлом троянец создает запись в системном реестре, которая будет выполнена при следующем старте системы:

[HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"delpcdefmsi"="cmd /c rmdir /s /q <my_doc>\<rnd1>"

Наш канал защищен лучше, чем ваш компьютер!

Но доступ к знаниям открыт для всех

Получите root-права на безопасность — подпишитесь