Trojan-Downloader.Win32.Meman

Technical Details

Написан на языке ассемблера. Запакован UPX. Размер сжатого – 5632 байт, распакованного – 17920.

Инсталляция

При инсталляции “троянец” копирует себя в EXE-файл с произвольным именем и в DLL-файл с тем же именем в системный каталог Windows и регистрирует EXE-файл в ключе автозапуска системного реестра:

[HKLMSoftwareMicrosoftWindowsCurrentVersionRun]

“Троянец” также создаёт следующий файл в каталоге Windows:

WININIT.INI

Вредоносные действия

Скачивает Backdoor.Afcore.aa c адреса http://system.hoha.ru/x.pl?10 и запускает его. Функциональность Backdoor.Afcore.aa аналогична Backdoor.Afcore.q.