SHA1:
- aeed844d2e7e27b8d2994c087c4148286aae3434 (NSIS, поддельный FlashPlayer)
- d911554891f18d58f32c7e68a026e212206d2226 (NSIS, дроппер)
Троянец-дроппер, замаскированный под обновление Adobe Flash Player. Предназначен для скрытой установки на атакуемый компьютер троянца BackDoor.TeamViewer.49.
Сценарий установки распаковывает файлы flashplayer21_xa_install.exe (настоящий установщик Adobe Flash Player) и flashplayer_install.exe (дроппер BackDoor.TeamViewer.49)на диск компьютера, а затем запускает их с интервалом в 3 секунды, после чего удаляет исходную копию файла flashplayer_install.exe.
Дроппер представляет собой файл в формате Nullsoft Scriptable Install System (NSIS), содержащий запароленный архив 7z. Перед запуском дроппер проверяет в системе наличие работающих процессов с именами AvastUI.exe, avastui.exe, sin\5s.exe, 5s.exe, \Pin\5s.lnk. Если какой-либо из этих процессов обнаруживается, дроппер завершает свою работу, показывая ошибку "Error! Can't initialize plug-ins directory. Please try again later".
Архив распаковывается в папку %APPDATA%\Sin\ и содержит следующие файлы:
- 5s.exe – приложение TeamViewer
- avicap32.dll - BackDoor.TeamViewer.49
- nv8moxflu – конфигурационный файл
