Detect date
22/03/2011
Класс
Trojan-Downloader
Платформа
Win32

Родительский класс: TrojWare

Вредоносные программы, которые осуществляют несанкционированные пользователем действия: уничтожают, блокируют, модифицируют или копируют информацию, нарушают работу компьютеров или компьютерных сетей. В отличие от вирусов и червей, представители этой категории не умеют создавать свои копии, не способны к самовоспроизведению.

Класс: Trojan-Downloader

Предназначены для загрузки и установки на компьютер-жертву новых версий вредоносных программ, установки троянцев или рекламных систем. Загруженные из интернета программы затем либо запускаются на выполнение, либо включаются в список программ, запускаемых при старте операционной системы. Информация об именах и расположении загружаемых программ содержится в коде и данных троянца или скачивается троянцем с управляющего интернет-ресурса (обычно с веб-страницы). Данный тип вредоносных программ в последнее время стал часто использоваться для первоначального заражения посетителей зараженных web-страниц, содержащих эксплойты.

Подробнее

Платформа: Win32

Win32 - платформа, управляемая операционной системой на базе Windows NT (Windows XP, Windows 7 и т.д.), позволяющей исполнять 32-битные приложения. В настоящее время данная платформа является одной из наиболее распространенных.

Описание

После запуска троянец читает из своего оригинального файла, расшифровывает и внедряет в адресное пространство своего процесса исполняемый код размером 16384 байта (детектируется Антивирусом Касперского как "Trojan-Downloader.Win32.Agent.cngp"). Внедренный код выполняет следующие действия:

  • устанавливает соединение с хостами:
    
    
    
    188.***.161
    
    
    
    85.***.111
    
    
    
    
  • В случае успешного подключения, на указанные сервера отправляются HTTP-запросы:
    
    
    
    GET /wrath_ehgoihgwpigpehh.exe HTTP/1.0
    
    
    
    Host: 188.***.161
    
    
    
    
    
    
    
    GET /bat.exe HTTP/1.0
    
    
    
    Host: 188.***.161
    
    
    
    
    
    
    
    GET /wrath_ehgoihgwpigpehh.exe HTTP/1.0
    
    
    
    Host: 85.***.111
    
    
    
    
    
    
    
    GET /bat.exe HTTP/1.0
    
    
    
    Host: 85.***.111
    
    
    
    
  • В ответ на посланный запрос сервер злоумышленника отправляет поток зашифрованных данных, которые расшифровываются троянцем и записываются в файлы:
    %WinDir%Temp_ex-.exe
    где – случайные двухзначные десятичные числа. На момент создания описания файлы не загружались.
  • Запускает на выполнение загруженные файлы.

Смотрите также

Узнай статистику распространения уязвимостей в своем регионе statistics.securelist.com

Нашли неточность в описании этой уязвимости? Дайте нам знать!
Kaspersky IT Security Calculator:
Оцените ваш профиль кибербезопасности
Узнать больше
Встречай новый Kaspersky!
Каждая минута твоей онлайн-жизни заслуживает топовой защиты.
Узнать больше
Confirm changes?
Your message has been sent successfully.