четверг, 20 января 2011 г.

Описание работы вируса Trojan-Downloader. Win32.Tiny.ajw

Троянская программа, которая без ведома пользователя скачивает на компьютер другое программное обеспечение и запускает его на исполнение. Является приложением Windows (PE-EXE файл). Имеет размер 11264 байт. Упакована неизвестным упаковщиком. Написана на С++.

Инсталляция

После запуска троянец копирует свой исполняемый файл в системный каталог Windows под именем:
%System%\v<rnd>.exe
где rnd - случайное десятичное число. Затем запускает копию своего файла на выполнение. Для автоматического запуска при каждом следующем старте системы троянец добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"syswin"="%System%\v<rnd>.exe"

Деструктивная активность

После этого вредонос пытается выполнить загрузку файла, который размещается по ссылке:
http://zer***ace.com/gettime.php
и сохранить загруженный файл с именем:
С:\gettime.txt
На момент создания описания ссылка не работала. Далее троянец считывает содержимое файла "gettime.txt" и производит удаление файла. Содержимое файла сохраняется в ключе системного реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion]
"d"="содержимое_загруженного_файла"
Создает экземпляр компонента "InternetExplorer.Application". Также вредонос отправляет HTTP запрос по ссылке:
http://zer***ace.com/firststart.php

0 коммент.:

Отправить комментарий