Троянец-загрузчик, распространяющийся в том числе путем массовых почтовых рассылок. Сами вирусописатели называют его Smoke Loader.
При запуске проверяет окружение на наличие песочницы или виртуальной машины:
- пытается отыскать в ключе реестра Windows SYSTEM\CurrentControlSet\Services\Disk\Enum подстроки virtual, vmware, qemu;
- проверяет, содержит ли имя его исполняемого файла подстроку sample;
- определяет, не загружена ли в память процесса библиотека dbghelp, sbiedll;
- проверяет PEB.NtGlobalFlag на присутствие отладчика.
Троянец запускает в остановленном виде процесс svchost.exe и встраивает в него двоичный файл, содержащий шелл-код. Шелл-код расшифровывает и распаковывает хранящуюся в нем библиотеку, настраивает её. Затем ищет в данной библиотеке экспортируемую функцию Work и вызывает ее. Основная функциональная нагрузка троянца реализована в этой библиотеке.
Из имени компьютера и серийного номера тома диска C: троянец формирует собственный идентификатор, проверяет наличие в системе собственной второй копии и расшифровывает адрес управляющего сервера. Пытается зарегистрировать себя в ветви системного реестра:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\RunС записью:
"%progname%"=C:\Documents and Settings\admin\Application Data\A2B4C6.exeГде "%progname% — имя приложения, выбранного случайным образом из всех ключей в ветви HKCU\Software, либо с именем по умолчанию Customer Service.
В случае неудачи пытается зарегистрироваться в ветви системного реестра:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunПроверяет наличие соединения с Интернетом, пытаясь установить связь с сайтом msn.com. В случае наличия соединения устанавливает связь с управляющим сервером, передаёт на него данные об инфицированном компьютере и пытается загрузить и запустить собственный основной модуль.
Назначение данного троянца заключается в загрузке на инфицированный компьютер и запуске других вредоносных приложений, которые сохраняются в директориях %temp% или %appdata%.
