Trojan-Downloader. Win32.Geral.cj
25 мая, 2010
Троянская программа, устанавливающая другие программы на компьютере пользователя без его ведома. Является приложением Windows (PE-EXE файл). Имеет размер 22899 байт. Упакована Upack. Распакованный размер – около 139 КБ. Написана на C++.
Деструктивная активность
После запуска троянец выполняет следующие действия:
извлекает из своего тела файлы, которые сохраняются в системе под следующими именами:
%System%\killdll.dll
(61440 байт; детектируется Антивирусом Касперского как "Trojan.Win32.AntiAV.atk")
%System%\updater.exe
(3584 байта; детектируется Антивирусом Касперского как "Trojan-Downloader.Win32.Agent.bptm")
После десятисекундной паузы запускает системную утилиту "rundll32.exe" со следующими параметрами:
%System%\killdll.dll killall
Это приводит к запуску функции с именем "killall" из ранее извлеченной библиотеки.
Запускает на выполнение файл:
%System%\updater.exe
Создает в каталоге хранения временных файлов пользователя сценарий командного интерпретатора
%Temp%\_ok.bat
следующего содержания:
:Repeat
del "<полный путь к оригинальному файлу троянца>"
if exist "<полный путь к оригинальному файлу троянца>" goto Repeat
rmdir %WokrDir%
del "%Temp%\_ok.bat"
Запускает созданный сценарий. Это приводит к удалению оригинального файла троянца после завершения его работы. При этом сам сценарий "%Temp%\_ok.bat" также удаляется.
После этого троянец завершает свою работу.
__________________
|