Downloader.Injecter.Win32.1650

Downloader.Injecter.Win32.1650 –  программа, предназначенная для скрытной установки в систему вредоносного ПО.  Эта программа используется для загрузки вирусов, троянских и шпионских программ на компьютер-жертву.

Методы распространения

распространяется через файлообменные Web-сайты и социальные сети, маскируясь под некие полезные программы, взломщики программ, генераторы серийных кодов и  ключей. Обманутый такой маскировкой, пользователь загружает вредоносное ПО и запускает у себя на компьютере.

Функциональные возможности 

После запуска, создает поддельную папку корзины, которая имеет вид  RECYCLER\S-1-X-XX-XXXXXXXXXX-XXXXXXXXX-XXXXXXXXX-XXXX\) (где X число от 0 до 9). Троянская программа копирует свое тело в каталог C:\RECYCLER\S-1-X-XX-XXXXXXXXXX-XXXXXXXXX-XXXXXXXXX-XXXX\ под именем syitm.exe.

Также создается файл desktop.ini в поддельной папке корзины, для того, чтобы зарегистрировать её в Windows в качестве настоящей корзины.

Для автоматического запуска при каждом старте системы,  добавляет ссылку на свой  файл в ключи автозапуска системного реестра:

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
Taskman = "C:\RECYCLER\S-1-X-XX-XXXXXXXXXX-XXXXXXXXX-XXXXXXXXX-XXXX\syitm.exe"

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
Tnaww = "C:\RECYCLER\S-1-X-XX-XXXXXXXXXX-XXXXXXXXX-XXXXXXXXX-XXXX\syitm.exe"

[HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] 
Shell = "explorer.exe,C:\RECYCLER\S-1-X-XX-XXXXXXXXXX-XXXXXXXXX-XXXXXXXXX-XXXX\syitm.exe"

После чего, копирует часть своего кода  в адресное пространство программы explorer.exe и создает от его имени соединение с  сайтом dq.javagames7.com:8800 для загрузки вредоносного программного обеспечения.

Деструктивные возможности

Программа загружает из сети Internet вредоносное ПО,  сохраняет его на компьютере и запускает на выполнение. Таким образом, на  компьютере оказывается  множество различных вирусов, троянских программ и другого вредоносного ПО.