Поведение
Trojan-Downloader, троянский загрузчик.
Технические детали
Троянская программа. Является приложением Windows (PE-EXE файл). Имеет размер 12788 байт.
Инсталляция
При инсталляции троянец копирует свой исполняемый файл в системный каталог Windows:
%System%/mssrv32.exe
Для автоматического запуска при каждом последующем старте системы троян создает службу с именем «Microsoft security update service».
Деструктивная активность
При запуске троянец внедряет свой код в системный процесс «svchost.exe».
Затем регистрируется на сайте злоумышленника, открывая следующий URL:
http://85.***.***.26/sesso/stat.php
При этом в заголовке запроса серверу сообщается версия операционной системы Windows, установленной на компьютере пользователя.
В ответ на этот запрос сервер посылает команды, которые определяют дальнейшие действия троянской программы. Команды могут быть следующими:
flood — производит «наводнение» указанного сервера большим количеством пакетов. Атака может быть следующих типов:
- ICMP
- SYN
- HTTP
- UDP
- stop — немедленно отменяет отправку пакетов;
- die — удаляет свой исполняемый файл и службу;
- open — открывает указанную ссылку в Internet Explorer;
- get — скачивает файл по указанной ссылке и запускает его на исполнение.
Скачанные файлы сохраняются в папку %Temp% и имеют временные имена.
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для ее удаления необходимо выполнить следующие действия:
- При помощи «Диспетчера задач» завершить троянский процесс.
- Удалить службу с именем:
"Microsoft security update service"
- Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
- Удалить файл:
%System%/mssrv32.exe
- Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).
Источник: viruslist.com.
|