Downloader.Injecter.Win32.1650
Downloader.Injecter.Win32.1650 – програма, призначена для скритного встановлення в систему шкідливого ПО. Ця програма використовується для завантаження вірусів, троянських і шпигунських програм на комп'ютер-жертву.
Методи розповсюдження
Поширюється через файлообмінні Web-Сайти й соціальні мережі, маскуючись під якісь корисні програми, зломщики програм, генератори серійних кодів і ключів. Ошуканий таким маскуванням, користувач завантажує шкідливе ПО й запускає в себе на комп'ютері.
Функціональні можливості
Після запуску, створює підроблену папку кошика, який має вигляд RECYCLER\s-1-X-xx-xxxxxxxxxx-xxxxxxxxx-xxxxxxxxx-xxxx\) (де X число від 0 до 9). Троянська програма копіює своє тіло в каталог C:\RECYCLER\s-1-X-xx-xxxxxxxxxx-xxxxxxxxx-xxxxxxxxx-xxxx\ під ім'ям syitm.exe.
Також створюється файл desktop.ini у підробленій папці кошика, для того, щоб зареєструвати її в Windows у якості справжнього кошика.
Для автоматичного запуску при кожному старті системи, додає посилання на свій файл у ключі автозапуску системного реєстру:
[HKLM\Software\Microsoft\Windows NT\Currentversion\Winlogon]
Taskman = "C:\RECYCLER\s-1-X-xx-xxxxxxxxxx-xxxxxxxxx-xxxxxxxxx-xxxx\syitm.exe"
[HKCU\Software\Microsoft\Windows\Currentversion\Run]
Tnaww = "C:\RECYCLER\s-1-X-xx-xxxxxxxxxx-xxxxxxxxx-xxxxxxxxx-xxxx\syitm.exe"
[HKCU\Software\Microsoft\Windows NT\Currentversion\Winlogon]
Shell = "explorer.exe,C:\RECYCLER\s-1-X-xx-xxxxxxxxxx-xxxxxxxxx-xxxxxxxxx-xxxx\syitm.exe"
Після чого, копіює частину свого коду в адресний простір програми explorer.exe і створює від його імені з'єднання із сайтом dq.javagames7.com:8800 для завантаження шкідливого програмного забезпечення.
Деструктивні можливості
Програма завантажує з мережі Internet шкідливе ПО, зберігає його на комп'ютері й запускає на виконання. Таким чином, на комп'ютері опиняється безліч різних вірусів, троянських програм і іншого шкідливого ПО.