Security Lab

Trojan-Downloader.BAT. Agent.gy

Trojan-Downloader.BAT. Agent.gy

Троянская программа. Является пакетным файлом командного интерпретатора (BAT-файл). Имеет размер 1729 байт.

Троянская программа. Является пакетным файлом командного интерпретатора (BAT-файл). Имеет размер 1729 байт.


name="doc3">

Деструктивная активность

При запуске создает каталог с именем:

%WinDir%\ehome
Далее троянец загружает файл по следующим ссылкам:
http://yici.g***60.com/images/uploadfile/uploadfile/swf33/
2008-3/200899172011617.swf
http://yici.g***60.com/images/uploadfile/uploadfile/swf33/
2008-3/200899172011618.swf
http://yici.g***60.com/images/uploadfile/uploadfile/swf33/
2008-3/200899172011619.swf
http://yici.g***60.com/images/uploadfile/uploadfile/swf33/
2008-3/200899172011620.swf
http://yici.g***60.com/images/uploadfile/uploadfile/swf33/
2008-3/200899172011621.swf
http://yici.g***60.com/images/uploadfile/uploadfile/swf33/
2008-3/200899172011622.swf
На момент создания описания ссылки не работали.

Скачанные файлы сохраняются под следующими именами соответственно:

%WinDir%\ehome\cacls.vbs
%WinDir%\ehome\cacls.exe
%WinDir%\ehome\cacls.bat
%WinDir%\ehome\cacls1.exe
%WinDir%\ehome\cacls1.bat
%WinDir%\ehome\ca.bat
После этого троянец запускает файл «%WinDir%\ehome\cacls.vbs», удаляет свой исполняемый файл и завершает свою работу.

Ищем уязвимости в системе и новых подписчиков!

Первое — находим постоянно, второе — ждем вас

Эксплойтните кнопку подписки прямо сейчас