VirusHunter предупреждает всех пользователей ПК о распространении в сети Интернет значительного количества вредоносных программ, представляющих собой модификации различных семейств троянцев-загрузчиков. Устанавливаясь в систему др. вредоносными программами, данные троянцы скрытно загружают на пораженные компьютеры через сеть Интернет массу др. троянских программ, в числе которых могут оказаться программы-шпионы, порнодиалеры и т.п...


Предварительная информация.

В данной статье приведены описания 11-ти троянских программ класса "трояны-загрузчики", отнесенных мной к группе Trojan-Downloader.LittleTroy. Несмотря на то, что все они написаны на различных языках программирования и, очевидно, созданы разными авторами, всех их объединяют следующие общие вещи:

 - они имеют относительно малый размер;

 - являются программами "одноразового" действия (выполняют свою программу, после чего завершают свою работу);

 - не создают (большинство из них) в системном реестре каких-либо ключей для возможности своей повторной активизации после перезапуска Windows.

Способы попадания данных троянцев в компьютер пользователя могут быть различными. Основными источниками являются Интернет-ресурсы порнографического и крэкософтового характера, т.к. там вероятность подцепить "венерическое заболевание" для компьютера под видом "полезной" программы или через уязвимости в скрипт-защите вэб-броузера (см. описание троянского семейства Trojan-Downloader.Dyfuca) гораздо выше, чем на каких-либо официальных ресурсах. Также представители данной троянской группы могут быть инсталлированы в систему др. вредоносными программами, попавшими некоторое время назад в компьютер неосмтрительного пользователя.
Хочу сразу сказать, что описание каждой модификации выполнено на основе изученного мной программного кода; необходимости в проведении дополнительных опытов на тест-машине, на мой взгляд, нет.
"По умолчанию" в тексте данного описания принимаются следующие вещи:

 - название системного каталога - "WINDOWS";

 - большинство троянцев группы дееспособны под различными ОС Windows, включая и Windows 2K/XP; если же какой-либо троянец работает только под определенными версиями ОС Windows, то последние также будут перечислены при описании данного представителя "LittleTroy";

 - символом "%" в тексте обозначаются фрагменты, представляющие собой непостоянные величины, а какие-либо переменные, зависящие от каких-либо условий; в Интернет-ссылках, по которым троянцы вызывают на загрузку др. вредоносные программы, этим же значком я буду заменять фрагменты адресов, что делается в целях безопасного изложения информации о действиях "LittleTroy";

 - данные по детектированию троянцев группы "LittleTroy" приведены на дату последних изменений, произведенных в тексте данного описания.


1. Trojan-Downloader.LittleTroy.5632

Записывается какой-то др. вредоносной программой в системный каталог как

WINDOWS\loader.exe

Данный файл имеет размер 5632 байта (никакими утилитами не обработан). Самостоятельно троянец не может активизироваться при старте системы, т.к. не содержит в своем коде процедуры содания каких-либо соотвествующих стартовых ключей. Таким образом, он может быть активизирован при старте системы только в том случае, если устанавливающая его др. вредоносная программа предварительно создаст в реестре ключ автозапуска файла loader.exe или сама будет запускать последний на выполнение.
После своего запуска троянец остается резидентно в памяти компьютера вплоть до завершения работы системы. Через определенные промежутки времени проверяет наличие подключения к Интернету и доступность 8081-го TCP-порта. Если оба эти условия выполняются, то троянец подключается к Web-ресурсу

http://217.%.66.1/del/

, где пытается искать файлы со следующими фрагментами текста в именах:

dia
exe
cmb_


При обнаружении какого-либо из таких файлов троянец скачивает его на пораженный компьютер и устанавливает в системный каталог под названием

WINDOWS\comload.dll

, после чего запускает на выполнение. В дальнейшем DLL-файл функционирует самостоятельно.
Поскольку опытов с троянцем на тест-машине не проводилось и файл comload.dll не был загружен с Интернета, его содержимое мне неизвестно (скорее всего, это какая-нибудь др. троянская программа).
Во время поиска файлов на вышеуказанном Web-ресурсе троянец обменивается с ним технической информацией в виде следующих сообщений:

Accessing...

Initializing Accessing...

Requesting Accessing...

00% Accessing...

Completed LDR Accesing

Please wait...

The requested file does not exist.

Please check with your service provider and try again


Троянский файл loader.exe антивирусы детектируют так:

Антивирус Kaspersky AntiVirus: Trojan-Downloader.Win32.Small.aa
Антивирус DrWeb: Trojan.DownLoader.5632
Антивирус BitDefender Professional: Generic.Malware.dld!!.5599A2E1


2. Trojan-Downloader.LittleTroy.osa

Распространяется под названием osa.gif среди прочих компонентов оформления Интернет-страниц. Расширение "GIF", характерное для файлов-картинок, умышленно присвоено файлу троянца, чтобы не выдавать его присутствия среди реальных картинок-баннеров - компонентов сохраняемой в машину HTML-страницы.
Файл троянца представляет собой Win32-приложение (PE EXE-файл) размером примерно от 2050 до 20200 байт, что зависит от количества нулевых байт в его хвостовой секции. Для того, чтобы троянец был запущен на выполнение, в коде загруженной HTML-страницы должен обязательно присутствовать вредоносный скрипт, содержащий процедуры замены у файла троянца расширения "GIF" на "EXE" и последующего запуска этого переименованного файла на выполнение. Без такого скрипта в теле страницы osa.gif не представляет никакой опасности.
Троянец osa.gif (osa.exe ?) является программой одноразового действия, предназначенной лишь для скрытной загрузки и установки на пораженный компьютер др. троянской программы, после чего osa.exe завершает свою работу и представляет уже не более, чем файловый мусор.
В момент своего запуска троянец проверяет наличие подключения машины к сети Интернет и в том случае, если подключение активно, то скрытно соединяется со страницей

http://abyronexperience.com/%/1.php

, с которой пытается скачать на пораженный компьютер какой-то EXE-файл. Затем троянец устанавливает этот файл в создаваемый им подкаталог со случайным именем в системной поддиректории, присваивая файлу случайное имя "%" (тут переменная % имеет какое-то определенное значение):

WINDOWS\[подкаталог со случайным именем]\%.exe

После установки и запуска данного файла на выполнение, троянец создает в системной памяти уникальный идентификатор нового троянского процесса "%.exe". Этот идентификатор имеет название

fds5644ghhopen

и содержит в себе информацию о местоположении в системной директории файла %.exe и его активности. Необходимость создания данной "метки" в системной памяти обусловлено, очевидно, тем фактом, что имя подкаталогу расположения данного файла присваиваются троянцем случайным образом и при наличии идентификатора можно избежать повторных загрузок и установок на машину-жертву одной и той же троянской программы, но в разные подкаталоги.
Троянский файл osa.gif (osa.exe ?) антивирусы детектируют так:

Антивирус Kaspersky AntiVirus: Trojan-Downloader.Win32.Small.aso
Антивирус DrWeb: Trojan.DownLoader.2504
Антивирус BitDefender Professional: Generic.Malware.dld!!.B158991E


3. Trojan-Downloader.LittleTroy.5664

Данный троянец работоспособен тольо под ОС Windows 2K/XP. Загружается из Интернет-сети и устанавливается в систему какой-то др. вредоносной программой.
Файл троянца имеет размер 3616 байт (сжат утилитой компрессии "UPX" версии 1.24; в декомпрессированном виде имеет размер 5664 байта) и записывается в системный каталог Windows как

WINDOWS\ms1.exe

После запуска троянец остается резидентно в памяти компьютера вплоть до завершения работы Windows. Во время работы в сети Интернет пытается соединиться со следующими сайтами:

http://evker.com/%/myurl.txt
http://evker.com/%/7.php


С первого из этих сайтов троянец скачивает на пораженный компьютер какой-то DLL- и EXE-файлы, которые устанавливает в создаваемый им подкаталог в системной директории:

WINDOWS\SYS\%.dll
WINDOWS\SYS\%.exe

Имена DLL- и EXE-файлам троянец присваивает в виде случайных комбинаций цифр и латинских букв, а регистрацию этих файлов для возможности их автозапуска при каждом последующем старте системы осуществляет при помощи стандартной команды регистрации в скрытом режиме "regsvr32 /s".
Со второго сайта троянец скачивает и устанавливает в системную поддиректорию "\System32\" троянский файл

WINDOWS\System32\init32m.exe

Этот файл троянец регистрирует как компонент системного процесса "Explorer.exe", поддерживающего графический интерфейс ядра ОС Windows 2K/XP. Для данной регистрации файла init32m.exe и возможности автозапуска последнего при каждом последующем старте системы троянец изменяет оригинальное значение "Shell" ключа реестра

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"="Explorer.exe"


на "Shell"="Explorer.exe C:\\WINDOWS\\System32\\init32m.exe"

Следует отметить, что аналогичный метод для запуска троянской программы использовался в 2002 году во вредоносной программе Backdoor.Chernovtsy.2002, но только для ее скрытой активизации под Windows 9X/ME.
Отчет о загрузках файлов из Интернета троянец хранит в создаваемом им файле

WINDOWS\System32\$$$_.log

Троянский файл ms1.exe антивирусы детектируют так:

Антивирус Kaspersky AntiVirus: Trojan-Downloader.Win32.Agent.ho
Антивирус DrWeb: Trojan.DownLoader.3002
Антивирус BitDefender Professional: Generic.Malware.dld!!.9E3BE8BE


4. Trojan-Downloader.LittleTroy.16384-A

Данный троянец загружается из сети Интернет и устанавливается на пораженный компьютер троянской программой Trojan-Downloader.ISTbar.MegaLoader, которая изначально и запускает его на выполнение.
Файл троянца имеет размер 3584 байта (сжат утилитой компресии "UPX" версии 1.24; в декомпрессированном виде имеет размер 16384 байта) и записывается на диск в системный каталог как

WINDOWS\bridge.exe

После запуска троянец остается резидентно в памяти компьютера вплоть до завершения работы системы. Во время работы в сети Интернет пытается установить соединение со страницей

http://www.slotch.com/%/%/golden/casprog.exe

, с которой закачивает на пораженную машину и запускает на выполнение соответсвующий файл; ссудя по ссылке, последний является троянской программой семейства Trojan-Downloader.ISTbar. Этот файл троянец устанавливает в системный каталог

WINDOWS\casprog.exe

Для того, чтобы данный троянский файл мог самостоятельно запускаться на выполнение при последующих запусках системы, Trojan-Downloader.LittleTroy.16384-A создает соответствующие записи в следующих разделах ключей реестра:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
и [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion]

, добавляя к их содержимому некоторые дополнительные значения.
Троянский файл bridge.exe антивирусы детектируют так:

Антивирус Kaspersky AntiVirus: Trojan-Downloader.Win32.Small.en
Антивирус DrWeb: Trojan.DownLoader.16384
Антивирус BitDefender Professional: Trojan.Downloader.Golden.A


5. Trojan-Downloader.LittleTroy.16384-B

Данный троянец загружается из сети Интернет и устанавливается на пораженный компьютер какой-то др. троянской программой, которая изначально и запускает его на выполнение.
Функционал троянца практически идентичен вышеописанной программе Trojan-Downloader.LittleTroy.16384-A (размер файла, тип и версия компресс-утилиты полностью аналогичны). Отличия заключаются лишь в некоторых деталях.
Файл троянца записывается на диск в системный каталог под именем

WINDOWS\searchbarcash.exe

Также отличается и ссылка, по которой троянец скачивает на пораженный компьютер и запускает на выполнение др. троянский файл:

http://www2.flingstone.com/%/mattie54.exe

Перед загрузкой данного файла троянец проверяет существует ли уже таковой в системном каталоге

C:\WINDOWS\mattie54.exe

(именно по такому пути). В том случае, если такой файл найден, то троянец завершает его работу (т.е. выгружает из памяти процесс "mattie54.exe") и переименовывает из "mattie54.exe" в "mattie54", после чего загружает из Интернета и устанавливает на его место вышеуказанный файл. Затем Trojan-Downloader.LittleTroy.16384-B дописывает в разделы ключей реестра

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
 и
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows]

какое-то новое значение под названием "mswspl", а также перепроверяет ссылку на файл mattie54.exe, благодаря которой последний получает управление при каждом старте системы.
Троянский файл searchbarcash.exe антивирусы детектируют так:

Антивирус Kaspersky AntiVirus: Trojan-Downloader.Win32.Small.iq
Антивирус DrWeb: Trojan.DownLoader.240
Антивирус BitDefender Professional: Trojan.DownLoader.Infa.A


6. Trojan-Downloader.LittleTroy.6653-A

Данный троянец загружается из сети Интернет и устанавливается на пораженный компьютер какой-то др. троянской программой. Файл троянца записывается под названием s.exe в один из следующих подкаталогов системной директории:

для Windows 9X/ME:

WINDOWS\SYSTEM\s.exe

для Windows 2K/2K Server/XP:

WINDOWS\System32\s.exe

Файл троянца имеет размер 6653 байта и зашифрован крипт-утилитой "YodaCrypt", точную версию которой мне не удалось установить; в расшифрованном виде размер файла в приближении к оригинальному коду составил 5120 байт. Никаких ключей для возможности своего автозапуска при каждом последующем старте системы троянец не создает, поскольку запускается на выполнение все той же др. троянской программой, которая установила его в машину.
После запуска троянец остается резидентно в системной памяти вплоть до завершения работы Windows и периодически проверяет на пораженном компьютере доступность 1025-го или какого-либо последующего из машинных портов для попытки выхода в сеть Интернет. Если подключение к сети активно, то троянец скрытно связывается в случайном порядке с одной из следующих вэб-страниц:

http://69.%.171.170/gallery/1/bc.php
http://69.%.171.172/rest/1/bc.php


С любой из них на пораженный компьютер загружается какой-то файл с названием lrtt.dat, который, очевидно, является обновленным плагином (файлом-компонентом) какой-то др. троянской программы. Если загрузка данного файла прошла успешно, то троянец создает в том же подкаталоге, где расположен его файл, отчетный DLL-файл со случайным именем, в который записывает следующие служебные данные:

ok=r
goman=1


Троянский файл s.exe антивирусы детектируют так:

Антивирус Kaspersky AntiVirus: Trojan.Win32.Crypt.i (расшифрованный файл - как Trojan-Downloader.Win32.Small.bfe)
Антивирус DrWeb: Trojan.DownLoader.3469 (расшифрованный файл - точно также)
Антивирус BitDefender Professional: GenPack:Generic.Malware.dld!!.EEC4823C (расшифрованный файл - как Generic.Malware.dld!!.B34D4B33)


7. Trojan-Downloader.LittleTroy.6653-B

Данный троянец загружается из сети Интернет и устанавливается на пораженный компьютер какой-то др. троянской программой. Его функционал практически идентичен вышеописанной программе Trojan-Downloader.LittleTroy.6653-A (размер файла, тип и версия крипт-утилиты, а также расположение на диске полностью аналогичны). Отличия заключаются лишь в некоторых деталях.
Файл троянца записывается под названием sys5451.exe. Никаких ключей для возможности своего автозапуска при каждом последующем старте системы троянец не создает, поскольку запускается на выполнение все той же др. троянской программой, которая установила его в машину; после своего запуска остается резидентно в системной памяти вплоть до завершения работы Windows. Его действия при доступности выхода в сеть Интернет также полностью аналогичны варианту Trojan-Downloader.LittleTroy.6653-A за исключением того, что троянец скрытно связывается только с одной вэб-страницой - той, которая идет первой в вышеуказанном списке у Trojan-Downloader.LittleTroy.6653-A, и загружает с нее какой-то файл с названием dabran.dat. При успешной загрузке данного файла троянец создает отчетный файл, характеристика и содержимое которого полностью идентичны вышеуказанному варианту.
Троянский файл sys5451.exe антивирусы детектируют так:

Антивирус Kaspersky AntiVirus: Trojan.Win32.Crypt.i (расшифрованный файл - как Trojan-Downloader.Win32.Small.avt)
Антивирус DrWeb: Trojan.DownLoader.2694 (расшифрованный файл - точно также)
Антивирус BitDefender Professional: GenPack:Generic.Malware.dld!!.83FF7720 (расшифрованный файл - как Generic.Malware.dld!!.5F3B3EE5)


8. Trojan-Downloader.LittleTroy.paytime

Данный троянец загружается из сети Интернет и устанавливается на пораженный компьютер какой-то др. троянской программой.
Файл троянца записывается под названием s.exe в один из следующих подкаталогов системной директории:

для Windows 9X/ME:

WINDOWS\SYSTEM\paytime.exe

для Windows 2K/2K Server/XP:

WINDOWS\System32\paytime.exe

После записи на диск и запуска на выполнение троянец функционирует самостоятельно.
Троянская программа Trojan-Downloader.LittleTroy.paytime не обработана никакими утилитами компрессии или криптации и имеет размер 3584 байта. Для возможности своего автозапуска при каждом последующем старте системы создает следующий ключ реестра:

для Windows 9X/ME:

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"PayTime"="[системный диск]:\\WINDOWS\\SYSTEM\\paytime.exe"


для Windows 2K/2K Server/XP:

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"PayTime"="[системный диск]:\\WINDOWS\\System32\\paytime.exe"


Чтобы усложнить принудительное удаление своего процесса из памяти машины в случае обнаружения, троянец создает данный ключ в реестре дважды, и, таким образом, при старте системы процесс paytime.exe будет загружен в память тоже дважды.
Также троянец изменяет в ключе реестра, связанном с настройками вэб-броузера Internet Explorer, следующие значения:

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main]
"Local Page"="http://195.%.218.172/index.php"
"Start Page"="http://195.%.218.172/index.php"
"Default_Page_URL"=http://195.%.218.172/index.php"


Измененные значения троянец записывает в данный ключ тоже дважды. Результатом таких изменений будет автоматический вызов и загрузка страницы http://195.%.218.172/index.php при работе с Internet Explorer. После загрузки этой страницы при наличии в системе активного троянца paytime.exe на пораженную машину будет без ведома пользователя автоматически загружена др. вредоносная программа.
Кроме внесения вышеуказанных изменений в настройки Internet Explorer троянец скрытно связывается со следующими Интернет-страницами:

http://195.%.218.172/index.php
http://195.%.218.173/troys/gb.txt
http://195.%.218.173/troys/it.txt


С них троянец закачивает на пораженный компьютер, устанавливает в системный подкаталог, где расположен его собственный файл paytime.exe, и запускает на выполнение следующие троянские файлы:

countrydial.exe - не был обнаружен на пораженной машине;
newdial.exe - не был обнаружен на пораженной машине;
paydial.exe - не был обнаружен на пораженной машине;
newdial1.exe - троянская программа, извлекающая из своего тела и устанавливающая на пораженный компьютер несколько др. троянских программ (файл троянца сжат утилитой компрессии "UPX" версии 1.25 и имеет размер 62464 байта; детально его код не изучался);
tibs.exe - троянская программа, загружающая через сеть Интернет и устанавливающая на пораженный компьютер несколько др. троянских программ (файл троянца сжат утилитой компрессии "FSG" версии 2.0 и имеет размер 13373 байта; детально его код не изучался);
tool2.exe - не был обнаружен на пораженной машине.

Все эти файлы после загрузки запускаются троянцем на выполнение и далее функционируют самостоятельно. Для возможности автоматического запуска файла tool2.exe троянец Trojan-Downloader.LittleTroy.paytime создает соответствующую запись с ссылкой на этот файл в разделе ключей реестра [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

Троянец Trojan-Downloader.LittleTroy.paytime и загружаемые им троянские программы антивирусы детектируют так:

Антивирус Kaspersky AntiVirus:
файл paytime.exe: Trojan-Downloader.Win32.Small.bdy
файл newdial1.exe: Trojan-Dropper.Win32.Agent.my
файл tibs.exe: Trojan-Downloader.Win32.Tibs.n

Антивирус DrWeb:
файл paytime.exe: Trojan.StartPage.origin
файл newdial1.exe: Trojan.MulDrop.2288
файл tibs.exe: Trojan.DownLoader.389

Антивирус BitDefender Professional:
файл paytime.exe: Generic.Malware.Sdld!!sp!g.AB199010
файл newdial1.exe: Dropped:Trojan.Downloader.Small.AHG
файл tibs.exe: Trojan.Downloader.Delf.DG


9. Trojan-Downloader.LittleTroy.js-397

Примитивный, но пакостный троянский скрипт размером 397 байт, написанный на языке Java Script. В машину попадает тем же образом, что и троянская программа TrojanScript.StartPage.
Троянец Trojan-Downloader.LittleTroy.js-397 является программой одноразового действия, т.е. при обращении к нему выполняет свои вредоносные процедуры, после чего завершает свою работу. Никаких ключей в системном реестре троянец не создает.
Троянский скрипт автоматически срабатывает под всеми ОС Windows до 2K/XP с установленными пакетами обновлений SP?, где его (скрипта) запуск будет заблокирован системой безопасности (Брэндмауэром). Вредоносные действия троянца заключаются в следующем: он пытается скрытно загрузить в машину троянскую программу одного из семейств "PdPinch" или "LdPinch", аналогичные Trojan-Spy.Mlogr.9584, Trojan-PSW.InvisibleThief.23019 или Trojan-PSW.InvisibleThief.32768 по ссылке

http://www.my-rostov.%.ru/files/services.exe

Далее Trojan-Downloader.LittleTroy.js-397 записывает скаченный файл в каталог с установленным Windows Media Player'ом (если в данный момент данная программа неактивна):

C:\Program Files\Windows Media Player\wmplayer.exe

На машинах с установленным Windows Media Player'ом версии 8.0 (???) или выше оригинальный файл wmplayer.exe будет перезаписан вышеуказанной троянской программой, которая будет автоматически запущена на выполнение при обращении системы к проигрывателю Windows Media Player. В данном случае, запуск троянца wmplayer.exe будет возможен только при том условии, что на машине пользователя установлен Windows Media Player версии 8.0 или выше, работающий в системе как проигрыватель "по умолчанию". На машинах с установленным Windows Media Player'ом версии ниже 8.0 (например, в Windows 98, 98 SE или ME без установленных обновлений) троянец также будет записан как wmplayer.exe, но никогда не будет автоматически запущен на выполнение при обращении системы к проигрывателю, поскольку аналогичный компонент последнего называется mplayer2.exe и, естественно, не будет перезаписан троянской программой.
Троянский скрипт Trojan-Downloader.LittleTroy.js-397 антивирусы детектируют так:

Антивирус Kaspersky AntiVirus: Trojan-Downloader.VBS.Psyme.a
Антивирус DrWeb: VBS.Psyme.126
Антивирус BitDefender Professional: Generic.XPL.ADODB.BC499C27


10. Trojan-Downloader.LittleTroy.1665

Данный троянец загружается из сети Интернет и устанавливается на пораженный компьютер либо троянской программой Trojan-Downloader.HackWeb.4577, и тогда копии троянца Trojan-Downloader.LittleTroy.1665 сохраняются на диск в виде следующих файлов:

для Windows 9X/ME:

WINDOWS\SYSTEM\vxh8jkdq1.exe
WINDOWS\SYSTEM\vxh8jkdq8.exe
[произвольный диск]:\Temp\1.qtdfmp

для Windows 2K/2K Server/XP:

WINDOWS\System32\vxh8jkdq1.exe
WINDOWS\System32\vxh8jkdq8.exe
[произвольный диск]:\Temp\1.qtdfmp

, после чего файл vxh8jkdq1.exe запускается на выполнение и копирует себя в этот же подкаталог как EXE-файл с неопределенным именем, либо инсталляция троянца производится троянской программой Trojan-Downloader.HackWeb.small-B, и тогда Trojan-Downloader.LittleTroy.1665 сохраняется на диск в виде следующего файла:

для Windows 9X/ME:

WINDOWS\SYSTEM\vxgame3.exe

для Windows 2K/2K Server/XP:

WINDOWS\System32\vxgame3.exe

Файл троянца Trojan-Downloader.LittleTroy.1665 имеет размер 1665 байт и сжат утилитой компрессии "FSG" версии 2.0; в декомпрессированном виде размер файла в приближении к оригинальному составил 32768 байт. Никаких ключей для возможности своего автозапуска при последующих загрузках ОС Windows троянец в реестре не создает и может быть запущен на выполнение только др. вредоносной программой.
Во время работы в сети Интернет троянец пытается скрытно связаться с одной из нижеприведенных страниц и скачать оттуда следующий файл:

http://www.procounter.%/12/loadppc.exe
http://www.procounter.%/45/loadppc.exe


Загружаемый троянцем файл loadppc.exe представляет собой многокомпонентную троянскую программу Trojan.Web-guide.zolker011.
При удачной загрузке файла loadppc.exe троянец связывается со страницей

http://procounter.%/installstat.php?id=%s&crc=%s

, на которой расположен счетчик статистики количества зараженных троянцем машин, после чего увеличивает значение счетчика на 1. Кроме того, в корневом каталоге WINDOWS троянец ищет какой-то EXE-файл (?) - %.exe, где переменная % имеет какое-то определенное значение), и, в случае обнаружения такового, создает отчетный файл с названием flag.bla.
Файлы-копии 1.qtdfmp, vxh8jkdq1.exe, vxh8jkdq8.exe и/или vxgame3.exe, а также загружаемую троянцем программу loadppc.exe антивирусы детектируют так:

Антивирус Kaspersky AntiVirus:
файлы 1.qtdfmp, vxh8jkdq1.exe, vxh8jkdq8.exe и vxgame3.exe: Trojan-Downloader.Win32.Small.bho
файл loadppc.exe: Trojan-Dropper.Win32.Small.abx (до отсылки 04.10.2005 инженерам антивирусной компании ошибочно распознавался расширенным набором антивирусных баз как безобидная программа not-a-virus:AdWare.Win32.Zbar.h)

Антивирус DrWeb:
файлы 1.qtdfmp, vxh8jkdq1.exe, vxh8jkdq8.exe и vxgame3.exe: Trojan.DownLoader.3870
файл loadppc.exe: Trojan.MulDrop.2590

Антивирус BitDefender Professional:
файлы 1.qtdfmp, vxh8jkdq1.exe, vxh8jkdq8.exe и vxgame3.exe: Generic.Malware.dld!!.E19697A3 (в сжатом виде) и Generic.Malware.dld!!.1F75253E (в декомпрессированном виде)
файл loadppc.exe: Trojan.MulDrop.2590


11. Trojan-Downloader.LittleTroy.sexer

Данный троянец имеет размер либо 4128, либо 8256 байт (последний в том случае, если файл содержит двойной идентичный код); загружается из сети Интернет и устанавливается на пораженный компьютер троянской программой Trojan-Downloader.HackWeb.4809. Копии троянца Trojan-Downloader.LittleTroy.sexer сохраняются на диск в виде следующих файлов:

для Windows 9X/ME:

WINDOWS\SYSTEM\vxh8jkdq1.exe
WINDOWS\SYSTEM\vxh8jkdq8.exe
[произвольный диск]:\Temp\1.qtdfmp

для Windows 2K/2K Server/XP:

WINDOWS\System32\vxh8jkdq1.exe
WINDOWS\System32\vxh8jkdq8.exe
[произвольный диск]:\Temp\1.qtdfmp

Затем файл vxh8jkdq1.exe запускается на выполнение и копирует себя в этот же подкаталог под названием efsdfgxg.exe; последний файл и будет в дальнейшем и будет получать управление при каждом старте ОС Windows. Для возможности своего автозапуска при каждом последующем старте системы троянец создает следующие ключи системного реестра:

для Windows 9X/ME:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"Explorer32"="[системный диск]:\\WINDOWS\\SYSTEM\\efsdfgxg.exe"

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
"Explorer64"="[системный диск]:\\WINDOWS\\SYSTEM\\efsdfgxg.exe"


для Windows 2K/2K Server/XP:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"Explorer32"="[системный диск]:\\WINDOWS\\System32\\efsdfgxg.exe"

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
"Explorer64"="[системный диск]:\\WINDOWS\\System32\\efsdfgxg.exe"


1-й ключ позволяет троянцу запускаться просто как компоненту автозагрузки системы, а 2-й - как системному сервису, в результате чего процесс efsdfgxg.exe будет загружаться в память дважды.
Троянец остается активным вплоть до завершения работы системы и во время работы в сети Интернет принудительно открывает окно вэб-броузера Internet Explorer, в строке поиска которого вызывает на загрузку следующую ссылку:

http://sex-orgazm.com/

По данной ссылке загружается порно-сайт; через небольшие промежутки времени троянец проверяет соединение с данным сервером и в том случае, если сайт не загружен (например, если пользователь закрыл окно с порно-страницей), то осуществляет его повторный вызов.
Кроме попытки загрузить порно-сайт в коде троянца не было обнаружено каких-либо вредоносных процедур, связанных с загрузкой на пораженный компьютер каких бы то ни было файлов или похищением конфиденциальных данных.
Файлы-копии троянской программы - 1.qtdfmp, vxh8jkdq1.exe, vxh8jkdq8.exe и efsdfgxg.exe, антивирусы детектируют так:

Антивирус Kaspersky AntiVirus:
файлы 1.qtdfmp, vxh8jkdq1.exe, vxh8jkdq8.exe и efsdfgxg.exe: Trojan-Clicker.Win32.Small.hx

Антивирус DrWeb:
файлы 1.qtdfmp, vxh8jkdq1.exe, vxh8jkdq8.exe и efsdfgxg.exe: Trojan.Click.680

Антивирус BitDefender Professional:
файлы 1.qtdfmp, vxh8jkdq1.exe, vxh8jkdq8.exe и efsdfgxg.exe: Trojan.Clicker.Win32.Small.HX


Исследование вредоносного кода и разработка описания: Бройде Герман (aka VirusHunter)
Дата создания: 18.09.2005
Дата внесения последних изменений: 04.04.2008
Автор описания: Бройде Герман (aka VirusHunter)


Rambler's Top100

0.00177502632141