Trojan-Downloader.Win32.Meman

Technical Details

Написан на языке ассемблера. Запакован UPX. Размер сжатого — 5632 байт, распакованного — 17920.

Инсталляция

При инсталляции «троянец» копирует себя в EXE-файл с произвольным именем и в DLL-файл с тем же именем в системный каталог Windows и регистрирует EXE-файл в ключе автозапуска системного реестра:

[HKLMSoftwareMicrosoftWindowsCurrentVersionRun]

«Троянец» также создаёт следующий файл в каталоге Windows:

WININIT.INI

Вредоносные действия

Скачивает Backdoor.Afcore.aa c адреса http://system.hoha.ru/x.pl?10 и запускает его. Функциональность Backdoor.Afcore.aa аналогична Backdoor.Afcore.q.