Trojan-Downloader.Win32.Small.brus

Время детектирования	09 мар 2011 15:53 MSK
Время выпуска обновления	09 мар 2011 21:47 MSK
Описание опубликовано	29 фев 2012 18:21 MSK

Экспертное описание Автоматическое описание Это описание создано экспертами «Лаборатории Касперского» и содержит наиболее точную информацию о данном детектируемом объекте. Экспертное описание Автоматическое описание Описание сгенерировано автоматически на основании анализа действий сэмпла этого детектируемого объекта на тестовом компьютере и может содержать неточную информацию.
Технические детали
Деструктивная активность
Рекомендации по удалению

Технические детали

Троянская программа, которая без ведома пользователя загружает из сети Интернет другие вредоносные программы и запускает их на выполнение. Является приложением Windows (PE-EXE файл). Имеет размер 2688 байт. Написана на C++.

Деструктивная активность

После запуска троянец устанавливает соединение со следующим IP адресом:

69.**.***.250

И получает данные в зашифрованном виде. Затем выполняет расшифровку полученных данных и сохраняет файлы во временном каталоге текущего пользователя под именами вида:

%Temp%\_<rnd>.tmp

Где <rnd> - произвольная последовательность из цифр и букв латинского алфавита.

Далее троянец запускает скачанные файлы и завершает свою работу.

Резюме

Trojan-Dropper. Скрытно устанавливает в систему другие вредоносные программы

Осуществляет сетевую активность

Технические детали

Имеет размер 2688 байт.

Инсталляция

Создает следующие файлы на зараженном компьютере:

Системный каталог ОС Windows (обычно, C:\Windows\System32)%System%\shimg.dll
Системный каталог ОС Windows (обычно, C:\Windows\System32)%System%\dll.dll

Вредоносная активность

Создает следующие файлы:

Каталог для хранения временных файлов ОС Windows (обычно, C:\Documents and Settings\<Имя_текущего_пользователя>\Local Settings\Temp)%Temp%\_1.tmp (детектируется антивирусом Касперского как Trojan-Dropper.Win32.Agent.elty)
Системный каталог ОС Windows (обычно, C:\Windows\System32)%System%\cryptnet32.dll

После чего обеспечивается Используя системный реестр, системные службы или специальные системные файлы, программа может обеспечивать свой запуск или запуск созданных ею файлов при каждой следующей загрузке ОС Windowsавтозагрузка установленных файлов:

путем прописывания в ключах автозапуска системного реестра:

[ Ветка системного реестра HKEY_LOCAL_MACHINEHKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cryptnet32 ] "DllName" = "cryptnet32.dll"

Следующие файлы запускаются на исполнение:

Каталог для хранения временных файлов ОС Windows (обычно, C:\Documents and Settings\<Имя_текущего_пользователя>\Local Settings\Temp)%Temp%\_1.tmp

Создает соединение со следующими адресами в Интернете:

***.50.192.250:16415

Прочие действия

Изменяет следующие ключи системного реестра:

[ Ветка системного реестра HKEY_LOCAL_MACHINEHKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cryptnet32 ] "Startup" = "WinlogonStartEX"

[ Ветка системного реестра HKEY_LOCAL_MACHINEHKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cryptnet32 ] "Logoff" = "WinlogonLogEX"

[ Ветка системного реестра HKEY_LOCAL_MACHINEHKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cryptnet32 ] "Shutdown" = "WinlogonLogEX"

[ Ветка системного реестра HKEY_LOCAL_MACHINEHKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cryptnet32 ] "Asynchronous" = "0x1"

[ Ветка системного реестра HKEY_LOCAL_MACHINEHKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cryptnet32 ] "Impersonate" = "0x0"

Удаляет следующие файлы на зараженном компьютере:

Системный каталог ОС Windows (обычно, C:\Windows\System32)%System%\crt.dat

НОВОЕ НА САЙТЕ

17 апреля 2024 года

В 2023 году самыми всераспространенными Android-угрозами стали троянские программы, демонстрирующие рекламу. Шпионские троянские приложения по уподоблению с прошлым годом понизили свою энергичность таково словно стали вторыми по числу детектирований на защищаемых антивирусом Dr.Web устройствах. невзирая на то, словн... Вирусные новости

11 апреля 2024 года

Компания «Доктор Веб» 4 апреля сообщила о выпуске обновления для продуктов линейки Dr.Web Enterprise Security Suite, сертифицированных ФСТЭК России.

Обновление ориентировано н... Антивирус Dr.Web

4 апреля 2024 года

Компания «Доктор Веб» информирует о выпуске обновления Dr.Web Desktop Security Suite (для Windows), Dr.Web Server Security Suite (для Windows), Dr.Web Mail Security Suite (для MS Exchange) так как Агента Dr.Web для Windows в составе сертифицированного ФСТЭК нашей родины Dr.Web Enterprise Security Suite (сертификат соответствия №3509). В рамках ... Антивирус Dr.Web

1 апреля 2024 года

Согласно этим статистики детектирований Dr.Web для мобильных механизмов Android, в феврале 2024 лета несравнимо возросла энергичность маркетинговых троянских программ из семейства Android.HiddenAdsВирусные новости

1 апреля 2024 года

Анализ статистики детектирований антивируса Dr.Web в феврале 2024 лета отобразил рост общего числа найденных опасностей на 1,26% по уподоблению с январем. При данном количество удивительных опасностей снизилось на 0,78%. фаворитные позиции по численности детектирований снова заняли всевозможные маркетинговые... Вирусные новости

Мой Антивирус

Trojan-Downloader.Win32.Small.brus

Технические детали

Деструктивная активность

Рекомендации по удалению

Резюме

Технические детали

Инсталляция

Вредоносная активность

Прочие действия