Trojan-Downloader.Win32.Zlob.jj

Jest to sk艂adnik trojana Trojan-Downloader.Win32.Zlob. Ma posta膰 biblioteki DLL o rozmiarze 6 144 bajt贸w (nie u偶yto 偶adnej kompresji).

Instalacja

Trojan rozpakowuje si臋 do foldera tymczasowego systemu Windows, podczas gdy instalator trojana uruchamiany jest ze skryptu NSIS. Po dokonaniu instalacji szkodnik usuwa si臋.

Funkcje trojana

Trojan zawiera dwie funkcje:

  1. GetVerID
    Zwraca numer wersji instalatora trojana poprzez odczytanie tej warto艣ci z pliku wykonywalnego.
  2. CheckIEHistory
    Wywo艂uje funkcj臋, kt贸ra pobiera list臋 odwiedzonych adres贸w URL.

Funkcja szuka nast臋puj膮cych adres贸w:

?ozyfrog.com
adultchamber.com
askdamagex.com
bbs.adultwebmasterinfo.com
bbs.gofuckyourself.net
bbs.mediumpimpin.com
bigboynetwork.com
boards.xbiz.com
crutop.nu
extremebullshit.com
foogie.com
forum.krawl.com
gallerytrafficservice.com
gaymarketforum.com
gaytraffic.nl
gaywebmasterchat.com
germesia.com
gfy.com
gofuckyourself.com
greenguyandjim.com
jmbsoft.com
krawl.biz
master-x.com
netpond.com
peppersboard.com
pornresource.com
pornstarkings.com
tgpalliance.com
tgpalliance.com
thinkreel.com
videosboard.com
videoscash.com
webmastersarea.com
ynotmasters.com

Je偶eli 偶aden z wymienionych adres贸w nie zostanie odnaleziony w plikach tymczasowych przegl膮darki, szkodnik rozpoczyna szukanie w poni偶szym kluczu rejestru:

[HKCUSoftwareMicrosoftInternet ExplorerTypedURLs]

Po znalezieniu jednego z wymienionych adres贸w skrypt instalatora zwraca warto艣膰 "1". W przypadku braku adres贸w zwracana jest warto艣膰 "0".