Поведение
Trojan, троянская программа.
Технические детали
Троянская программа, выполняющая деструктивные действия на компьютере пользователя. Является приложением Windows (PE-EXE файл). Имеет размер 20480 байт.
Инсталляция
После запуска троянец копирует свой исполняемый файл как:
%System%/drivers/runtime.sys
Для автоматического запуска при каждом следующем старте системы троян создает системную службу с именем "Runtime", которая запускает исполняемый файл трояна при каждой последующей загрузке Windows. При этом создается следующий ключ реестра:
[HKLM/SYSTEM/CurrentControlSet/Services/runtime]
После успешной инсталляции троян удаляет свой оригинальный файл.
Деструктивная активность
Троянская программа содержит руткит драйвер, который скрывает наличие файлов троянца на жестком диске, а так же следующих файлов:
%System%/ntoskrnl.exe
%System%/ntkrnlpa.exe
%System%/ntkrnlmp.exe
%System%/ntkrpamp.exe
И их процессов в системе.
Также троянец запускает скрытый процесс "iexplore.exe", в который внедряет свой код, который скачивает файлы со следующих адресов:
208.66.194.***
66.246.252.***
208.66.195.***
74.53.42.***
74.53.42.***
Скачанные файлы сохраняются под именами вида:
%Temp%/.exe,
где rnd – случайная последовательность цифр.
После успешной загрузки файлы запускаются на выполнение.
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
- При помощи <Диспетчера задач> завершить вредоносный процесс.
- Удалить ключ системного реестра:
[HKLM/SYSTEM/CurrentControlSet/Services/runtime]
- Удалить файл:
%System%/drivers/runtime.sys
- Удалить содержимое папки %Temp%
- Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).
Источник: viruslist.com.
| 
