SHA1:
- d34eec80dd87819743e4f80a69796f1793bbcf74
Троянец-загрузчик, заражающий устройства под управлением Microsoft Windows. Первый слой упаковщика вредоносной программы расшифровывает второй слой и передает управление на него. Второй слой расшифровывает троянца в заранее выделенную память и передает ему управление.
Вредоносная программа содержит два URL, которые хранятся в незашифрованном виде и при обращении к которым на момент исследования скачиваются идентичные зашифрованные файлы. Также может загружать незашифрованные файлы.
После запуска троянец проверяет наличие привилегий Администратора системы. При их отсутствии запускает себя с помощью runas. Пытается удалить исходный файл либо с помощью MoveFileEx, либо с использованием .bat-файла, после чего завершает работу. При наличии привилегий Администратора системы троянец выполняет полезную нагрузку, пытается удалить исходный файл с помощью MoveFileEx или с использованием .bat-файла, после чего завершает работу.
При обращении к серверам для скачивания полезной нагрузки использует User-Agent, в котором передается информация о версии операционной системы и ее разрядности. Например, для 64-разрядной Windows 10 используется User-Agent вида:
User-Agent: Mozilla / 5.0 (Windows NT 6.2; Win64)
Скачанный файл сохраняется со случайным именем в папку %TEMP%, затем загружается в память, исходный файл удаляется, а потом содержимое памяти снова сохраняется в виде файла в папку %TEMP% со случайным именем. Затем этот исполняемый файл снова загружается в память, удаляется с диска и запускается из памяти. В качестве скачиваемой полезной нагрузки выявлен вредоносный файл, добавленный в вирусные базы Dr.Web под именем Trojan.LoadMoney.3558.
