Другие версии: .an, .be, .bj, .dc, .ft, .gd, .gp, .if, .jl, .n
Поведение
Trojan-Downloader, троянский загрузчик.
Технические детали
Троянская программа, которая без ведома пользователя загружает из сети Интернет другие файлы и запускает их на исполнение. Является приложением Windows (PE EXE-файл). Имеет размер 31744 байта. Написана на Visual Basic.
Инсталляция
После запуска троянец копирует свой исполняемый файл в системный каталог Windows:
%System%/wdfmgrnt.exe
Для автоматического запуска при каждом последующем старте системы троян добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:
[HKLM/Software/Microsoft/Windows/CurrentVersion/Run]
"wdfmgrnt" = "%System%/wdfmgrnt.exe"
Деструктивная активность
Троянец запускает браузер Internet Explorer и внедряет в него код, который скачивает файлы по следующим ссылкам:
http://59.***.197.***/t21.exe
http://59.***.197.***/10050.exe
Скачанные файлы сохраняются в системном каталоге Windows:
%System%/t21.exe — имеет размер 159905 байт;
%System%/10050.exe — имеет размер 155648 байт.
Затем скачанные файлы запускаются на исполнение.
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для ее удаления необходимо выполнить следующие действия:
- При помощи «Диспетчера задач» завершить троянский процесс.
- Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
- Удалить параметр в ключе системного реестра:
[HKLM/Software/Microsoft/Windows/CurrentVersion/Run]
"wdfmgrnt" = "%System%/wdfmgrnt.exe"
- Удалить файлы:
%System%/wdfmgrnt.exe
%System%/t21.exe
%System%/10050.exe
- Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).
Источник: viruslist.com.
| 
