Trojan-Downloader.Win32.Zlob.jj
Trojan rozpakowuje si臋 do foldera tymczasowego systemu Windows, podczas gdy instalator trojana uruchamiany jest ze skryptu NSIS. Po dokonaniu instalacji szkodnik usuwa si臋.
Trojan zawiera dwie funkcje:
- GetVerID
Zwraca numer wersji instalatora trojana poprzez odczytanie tej warto艣ci z pliku wykonywalnego. - CheckIEHistory
Wywo艂uje funkcj臋, kt贸ra pobiera list臋 odwiedzonych adres贸w URL.
Funkcja szuka nast臋puj膮cych adres贸w:
?ozyfrog.com adultchamber.com askdamagex.com bbs.adultwebmasterinfo.com bbs.gofuckyourself.net bbs.mediumpimpin.com bigboynetwork.com boards.xbiz.com crutop.nu extremebullshit.com foogie.com forum.krawl.com gallerytrafficservice.com gaymarketforum.com gaytraffic.nl gaywebmasterchat.com germesia.com gfy.com gofuckyourself.com greenguyandjim.com jmbsoft.com krawl.biz master-x.com netpond.com peppersboard.com pornresource.com pornstarkings.com tgpalliance.com tgpalliance.com thinkreel.com videosboard.com videoscash.com webmastersarea.com ynotmasters.com
Je偶eli 偶aden z wymienionych adres贸w nie zostanie odnaleziony w plikach tymczasowych przegl膮darki, szkodnik rozpoczyna szukanie w poni偶szym kluczu rejestru:
Po znalezieniu jednego z wymienionych adres贸w skrypt instalatora zwraca warto艣膰 "1". W przypadku braku adres贸w zwracana jest warto艣膰 "0".