Trojan-Downloader. Win32.FraudLoad.gym


Описание
Троянская программа, загружающая файлы из сети Интернет без ведома пользователя и запускающая их. Является приложением Windows (PE-EXE файл). Размер - 44544 байта. Написана на C++.


Деструктивная активность
После запуска троян:

  1. Извлекает из своего тела файл, который сохраняется в каталоге хранения временных файлов текущего пользователя под случайным именем:
    • %Temp%/rnd.vbs
    • (2973 байта; детектируется Антивирусом Касперского как "Trojan-Downloader.Win32.FraudLoad.gym") где rnd – случайное восьмизначное шестнадцатеричное число (например: "4d0b7d84").

  2. Запускает извлеченный файл при помощи системного командного интерпретатора:
    • cmd.exe /c %Temp%/rnd.vbs
    Для удаления своего оригинального файла после завершения его работы запускает системный командный интерпретатор с параметрами:
    /c del полный путь к оригинальному файлу троянца

  3. После этого троянец завершает свою работу.


Извлеченный троянцем файл является VBS-скриптом, реализующим функционал загрузчика. После запуска данный файл, используя уязвимость в ActiveX компоненте "XMLHTTP", загружает из сети Интернет файл по следующей ссылке:

  • http://ka-k***gsystem-at.info/PCDefenderSilentSetup.msi
  • На момент создания описания ссылка не работала

Благодаря уязвимости в ActiveX компоненте "ADODB.Stream" загруженный файл сохраняется в каталоге "My Documents" текущего пользователя под случайным именем:

  • %USERPROFILE%/My Documents/rnd/rnd.msi

Далее загруженный файл запускается на выполнение.


Методы борьбы

  1. Удалить файлы:
    • %Temp%/rnd.vbs
    • %USERPROFILE%/My Documents/rnd/rnd.msi
  2. Очистить каталог Temporary Internet Files.
  3. Произвести полную проверку компьютера бесплатной лечащей утилитой Dr.Web CureIt! или Антивирусом Касперского с обновленными антивирусными базами.