-
Trojan-Downloader.Win32.Agent.hbi
Описание
При установке дропается в Local Settings\Temp. Имя файла произвольное, размер 100891 байт, написал на Дельфи, упакован ASPack.
Файл соединяется с
Код:
85.255.151.150
209.160.73.98
и закачивает в ту же папку G5-tmp_.exe (имя может меняться, детектится как Trojan-Downloader.Win32.IEDefender.e) - 405504 байта, написан на Дельфи, упакован UPX, и несколько tmp-файлов с нулевым размером.
Открывается окно сеанса MS-DOS (запускается G5-tmp_.exe), и сразу же поверх него появляется окно с лицензионным соглашением установки якобы видео-плагина для браузера. При согласии через пару секунд открывается окно об успешной установке и необходимости перезапустить браузер. Браузер перезапускается самим зловредом и в открывшемся окне мы видим Гугл с результатами поиска по слову YouTube (http://google.com/search?q=youtube).
Но в дальнейшем, либо из-за ошибки в выложенном G5-tmp_.exe, либо недоработке создателя, ничего вредоносного с системой не происходит.
Симптомы:
- пустая запись BHO BDA71-9EA2-467C-90EC-EO947A9BB1ED
- AVZ сообщает о модификации префиксов
Последний раз редактировалось AndreyKa; 18.03.2008 в 11:18.
Причина: добавил детектирование G5-tmp_.exe, только-только в базы попало ;)
-
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru: