Троянская программа, загружающая файлы из сети Интернет без ведома пользователя и запускающая их.
Троянская программа, загружающая файлы из сети Интернет без ведома пользователя и запускающая их. Является приложением Windows (PE-EXE файл). Имеет размер 2816 байт. Упакована FSG. Распакованный размер – около 16 КБ. Написана на C++.
После запуска троянец выполняет следующие действия:
%System%\wservice.exeДля созданных файлов устанавливаются атрибуты "скрытый" (hidden), "системный" (system).
%System%\lservice.exe
%System%\ffservice.exe
[HKLM\Software\Microsoft\Active Setup\Installed Components\
{a75aed00-d7bf-11d1-9947-00c0Cf98bbc9}]
"StubPath" = "%System%\lservice.exe"
[HKLM\Software\Microsoft\Windows\CurrentVersion\policies\explorer\run]
"Windows Reg Services" = "%System%\ffservice.exe"
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"Windows Reg Services" = "%System%\ffservice.exe"
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"Windows Reg Services" = "%System%\ffservice.exe"
Будучи запущенным с параметром "-s", троянец в цикле осуществляет попытку загрузки файла по следующей ссылке:
http://www.u***.com/server.exeЗагруженный файл сохраняется в системе как
%System%\d_service.exeи после успешной загрузки запускается на выполнение. Выход из цикла производится лишь в случае успешной загрузки и запуска файла. На момент создания описания указанная ссылка не работала.
Спойлер: она начинается с подписки на наш канал