Security Lab

Trojan-Downloader.Win32. Small.knb

Trojan-Downloader.Win32. Small.knb

Червь, создающий свои копии на локальных и доступных для записи съемных дисках, содержащий также функционал троянской программы, загружающей файлы из сети Интернет без ведома пользователя и запускающая их.

Червь, создающий свои копии на локальных и доступных для записи съемных дисках, содержащий также функционал троянской программы, загружающей файлы из сети Интернет без ведома пользователя и запускающая их.. Является приложением Windows (PE-EXE файл). Имеет размер 6656 байт. Написан на C++.

Инсталляция

После запуска червь копирует свое тело в следующие файлы:

%System%\win32ini.exe
%WinDir%\netlog.dat
%WinDir%\systime.exe
Созданным файлам присваиваются атрибуты "скрытый" (hidden) и "системный" (system).

Для автоматического запуска одной из созданных копий при каждом следующем старте системы создается ключ системного реестра:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"Initialize Win32" = "win32ini.exe"
Далее созданная ранее копия с именем "systime.exe" запускается на выполнение, а оригинальный файл червя завершает свою работу.

Распространение

Червь копирует свое тело на все доступные для записи логические и съемные диски под следующим именем:

<имя зараженного раздела>:\openflash.exe
Вместе со своим исполняемым файлом червь помещает файл:
<имя зараженного раздела>:\autorun.inf
следующего содержания:
[autorun]
open=openflash.exe
action=Открыть папку для просмотра файлов
action=@openflash.exe
icon=shell32.dll,7
shell\open=Открыть папку для просмотра файлов
shell\open\Command=openflash.exe
shell\open\Default=1
shell\explore=Открыть
shell\explore\Command=openflash.exe
что позволяет червю запускаться каждый раз, когда пользователь открывает зараженный раздел при помощи программы "Проводник". Созданным файлам присваиваются атрибуты "скрытый" (hidden) и "системный" (system).

Мы расшифровали формулу идеальной защиты!

Спойлер: она начинается с подписки на наш канал

Введите правильный пароль — подпишитесь!