Trojan-Downloader.Win32.Zanoza.f

[rubin]

Распространяется через письма по e-mail, вроде:

Привет, посмотри мои фотки!

По ссылке идет загрузка файла realfoto.exe - мой образец Trojan-Downloader.Win32.Zanoza.f (2617 байт, написан на C++, упакован FSG).
Пользователь вручную сохраняет файл, запускает, открывается сайт одной из службы знакомств.
Но параллельно, незаметно для пользователя, устанавливается соединение с yvon-publicidad.com и даунлоудер устанавливает новые файлы: в папку с realfoto.exe добавляются chkdsk1.exe, chkdsk2.exe, chkdsk3.exe, которые устанавливаются в систему:
- устанавливается magent.exe [бывший chkdsk3.exe = Email-Worm.Win32.Bagle, 32678 байт, не упакован, написан на C++] в папку %System32%, прописывается в

Код:

HKEY_USERS\%Profile%\Software\Microsoft\Windows\CurrentVersion\Run1\

- устанавливается svchost.exe в папку %Windir% [бывший chkdsk2.exe - Trojan-Proxy.Win32.Daemonize, 44032 байта, не упакован, написан на C++], прописывается в

Код:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run0\

- в %System32% прописывается и mswapi.dll [бывший chkdsk1.exe - Trojan-Spy.Win32.Iespy, написан на C++, упакован FSG, 7216 байт], сохраняется как

Код:

BHO e3a729da-eabc-df50-1842-dfd682644311

magent.exe умеется общаться с сетью, умеет отправлять почту, что и делает, рассылая спам с зараженного компьютера.
svchost.exe создает возможность работать в сети от имени зараженного компьютера.
mswapi.dll является типичным шпионом, следя за действиями пользователя и транслируя по нужному адресу всю информацию.

Симптомы:
1. Возросший сетевой траффик
2. Возможны зависания компьютера, в редких случаях BSOD

Сами зловреды на сайте регулярно обновляются, но названия файлов, их поведение и местоположение неизменны

[Baby Doll]

А вот мне пришлось с помощью AVZ, кроме вышеупомянутых, удалить из каталога %System32% еще два: mdmi386.exe и auhook.dll