Trojan-Downloader.Win32.IMCdown

Technical Details

Троянская программа, загружающая из интернета файлы без ведома пользователя.

Является приложением Windows (PE EXE-файл). Написана на Borland C++. Состоит из нескольких компонентов:

• CLIENT.EXE — 57344 байт
• SERVER.EXE — 65024 байт
• X.EXE — 4096 байт

Payload

Троянская программа (X.EXE) устанавливает ТСP-соединение с узлом 116.116.199.216:62324 (216.216.216.216:55512). Если соединение не было установлено в течении 30 секунд, троянец завершает свой процесс. В противном случае вредонос создает в текущей директории файл с именем anyfile.exe, записывает в него загруженные данные, после чего запускает созданный файл на исполнение. При этом сам загрузчик завершает свою работу.

Для загрузки использует ZFTP-сервер, работающий через порт 12345. При запуске клиента (СLIENT.EXE) посылается широковещательный запрос, проверяющий порт 12345. Если в качестве параметров командной строки клиента указан адрес компьютера, где установлен сервер (SERVER.EXE), то с ним устанавливается соединение на указанный порт. После чего происходит загрузка файлов с сервера.

Removal instructions

1. При помощи «Диспетчера задач» завершить троянские процессы.
2. Удалить оригинальные файлы троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
3. Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).