Trojan-Downloader.Win32.VB

O Trojan garante que os arquivos ocultos não possam ser mostrados pelo Explorer.exe modificando os seguintes parâmetros-chave do Registro do sistema:

O Trojan também garante que as extensões de arquivo não possam ser exibidas pelo Explorer.exe, definindo os seguintes parâmetros-chave do registro do sistema:

Para impedir que esses parâmetros sejam revertidos, o Trojan desabilita "Opções de Pasta" no Explorer.exe, definindo o seguinte parâmetro-chave do Registro do sistema:

O Trojan, em seguida, cria uma pasta oculta chamada "psador18.dll" no diretório de sistema do Windows:

O arquivo contém os seguintes endereços de e-mail:

O Trojan também extrai um rootkit chamado "psagor18.sys" do seu corpo. Este arquivo será colocado no diretório de trabalho do Trojan. Este rootkit inclui funções que ocultam a presença dos arquivos "psador18.dll" e "AHTOMSYS19.exe". Também oferece ao cavalo de Tróia os mais altos privilégios do sistema, impossibilitando a exclusão do arquivo Trojan ou a finalização de processos de Trojan.

Quando o sistema é desligado, esse arquivo será excluído, mas será recriado quando o sistema for reinicializado.

O Trojan rastreia a aparência das janelas com os seguintes títulos:

Se o Trojan detectar tais janelas, elas serão automaticamente fechadas.

O Trojan também procura dispositivos flash. Se detectar qualquer um desses dispositivos, o Trojan copiará seu corpo como "CDburn.exe" e criará um arquivo chamado "autorun.inf", que contém um link para o corpo do cavalo de Tróia. Isso garante que o arquivo Trojan seja iniciado automaticamente toda vez que o dispositivo for conectado.

O Trojan também coleta endereços de e-mail da máquina da vítima e envia uma mensagem de e-mail para eles. O email tem uma linha de assunto vazia e o seguinte conteúdo: