Trojan-Downloader.Win32.Small.yx

Технические детали

Троянская программа представляет собой Windows PE EXE-файл. Имеет размер около 3 КБ. Упакована FSG. Размер распакованного файла - около 12 КБ.

Троянская программа имеет функцию загрузки других файлов из интернета и запуска их на компьютере пользователя. С удаленного сервера в интернете загружаются следующие файлы:

dktibs.exe
mstask1.exe
mstask2.exe
mstask3.exe
systime.exe
test
toolbar.exe

После чего копируются в системный и корневой каталоги Windows и запускаются на исполнение.

Также троянец изменяет файл %System%\drivers\etc\hosts, дописывая в него нижеприведенный текст и, тем самым, блокируя обращения к данным сайтам:

127.0.0.3 aaasexypics.com
127.0.0.3 allforadult.com
127.0.0.3 autoescrowpay.com
127.0.0.3 awmdabest.com
127.0.0.3 counter.sexmaniack.com
127.0.0.3 iframe.biz
127.0.0.3 newiframe.biz
127.0.0.3 n-glx.s-redirect.com
127.0.0.3 pizdato.biz
127.0.0.3 sexfiles.nu
127.0.0.3 vesbiz.biz
127.0.0.3 virgin-tgp.net
127.0.0.3 www.aaasexypics.com
127.0.0.3 www.allforadult.com
127.0.0.3 www.autoescrowpay.com
127.0.0.3 www.awmdabest.com
127.0.0.3 www.iframe.biz
127.0.0.3 www.newiframe.biz
127.0.0.3 www.pizdato.biz
127.0.0.3 www.sexfiles.nu
127.0.0.3 www.vesbiz.biz
127.0.0.3 www.virgin-tgp.net
127.0.0.3 x.full-tgp.net

Small.yx выгружает из системы процессы, содержащие в именах следующие строки:

actalert.exe 
alchem.exe 
bargains.exe 
bdl74125.exe 
bitmap.tmp 
exdl.exe 
exploit.exe 
file.exe 
fnnmqi.exe 
fucker.exe 
host32.exe 
iinstall.exe 
Installer2.exe 
intron.exe 
intronet.exe 
ir.exe 
istsvc.exe 
loadclean.exe 
lpt.exe 
msxmidi.exe 
optimize.exe 
PEPEmsPE.exe 
powerscan.exe 
printer.exe 
printer32.exe 
services.exe 
sidefind.exe 
s-PEPE.exe 
telnet.exe 
teur.exe 
ttgkirnl.exe 
twink64.exe 
usb.exe 
Winad.exe 
WinClt.exe 
winmm64.exe 
ykyrtws.exe