Воскресенье, 12.01.2025, 14:01
HUKER.ucoz.com
Главная Регистрация Вход
Приветствую Вас, Гость · RSS
Меню сайта
Категории раздела
Вирусы [16]
Форма входа
Опрос
Как часто вы посещаете наш сайт?
Всего ответов: 353
Статистика
HotLog

Рейтинг@Mail.ru


Онлайн всего: 1
Гостей: 1
Пользователей: 0
 Каталог статей
Главная » Статьи » Вредоносное ПО » Вирусы

Trojan-Downloader. Win32.Adload.tup

Троянская программа, загружающая файлы из сети Интернет без ведома пользователя и запускающая их. Является приложением Windows (PE-EXE файл). Имеет размер 82200 байт. Написана на C++.

Деструктивная активность


После запуска троянец выполняет следующие действия:
загружает из сети Интернет файл по следующей ссылке:
http://up***er.com/install.aspx?b=querybrowser
Загруженный файл сохраняется в каталоге хранения временных файлов текущего пользователя как
%Temp%\stb<rnd>.tmp\setup.exe
где <rnd> – случайное двухзначное шестнадцатеричное число.

На момент создания описания загружался файл размером 727792 байта; MD5: 9FCFAF2BC4BD8D54BCFCD0CC3A888842, SHA1:
0DEA5D4C0D6DDB213440BD7AAEEDAAB8C8F64B8E.
Запускает загруженный файл с параметрами:
-i 9f77f024b36d47be96af687beb8abf3e -p QrybrsrFlvtube /S
Ожидает завершения запущенного процесса "setup.exe", после чего удаляет файл:
%Temp%\stb<rnd>.tmp\setup.exe
а также каталог:
%Temp%\stb<rnd>.tmp
Информирует злоумышленника об удачной загрузке и установке файла, обращаясь по ссылке:
http://up***er.com/?product=0&tji18=2152&vn=0&qipc43
=43&rea=29&rfz94=45&b=querybrowser&vhid11=582&cid=9f77f0
24b36d47be96af687beb8abf3e&opfs4=7708&ptag=QrybrsrFlvtub
e&pe3=21&av=Ao19cDF0lroKQZGcGWv64KQowTOUJpXf8zxYqCi0
&fpuz6=53&as=
Посредством запуска системного командного интерпретатора "CMD.EXE" с параметрами:
/c del <полный путь к оригинальному файлу троянца> > nul
удаляет свой оригинальный файл после завершения его работы.

После этого троянец завершает свою работу.

Загруженный троянцем файл является инсталлятором программы "QueryBrowser". Сайт программы:
http://www.querybrowser.com

Окно инсталлятора выглядит следующим образом:


Программа устанавливается в каталог "%Program Files%", где создаются файлы:
%Program Files%\QueryBrowser\querybrowser.exe
(61712 байт; MD5: 592DEFC591FAF81D539785D840 76D215, SHA1: 6F0609047A4A78E3236C0812CAFE5D 62AB62A011)
%Program Files%\QueryBrowser\querybrowser.dll
(577536 байт; MD5: 779BD59FF43537BB1C1FF78B49669AD8, SHA1: 138D9EE7F782A99AA07F0611F2E39035FDC13D7E)

Также в процессе установки создаются ключи системного реестра:
[HKLM\Software\QueryBrowser]
"Primary" = "24602"
"DllPath" = "%Program Files%\QueryBrowser\querybrowser.dll"
"Version" = "65548"
"Cid" = "61fd6abec14040a08fd49ee54b25508a"
"Partner" = "QrybrsrFlvtube"
"Src" = "querybrowser"
"Initial" = "1"
"ShowToolbarButton" = "0"
"ShowBarSign" = "0"
Установленная программа позволяет отслеживать строки, вводимые в адресной строке браузера, и, таким образом, вести учет интернет-ресурсов, посещаемых пользователем.

Категория: Вирусы | Добавил: Huker-Admin (29.12.2010)
Просмотров: 1573 | Рейтинг: 0.0/0
Copyright HUKER.ucoz.com © 2025-2012
Облако тегов
измерение скорости

Я.Интернет. Измерьте вашу скорость.