Поведение
Trojan-Downloader, троянский загрузчик.
Платформа: Win32
Технические детали
Троянская программа, которая несанкционированно загружает из сети Интернет на компьютер пользователя другие файлы и запускает их на исполнение. Программа является приложением Windows (PE EXE-файл). Имеет размер 1929 байт. Упакована FSG. Распакованный размер — около 14 КБ. Написана на C++.
Деструктивная активность
При запуске троянец запускает системный процесс "svchost.exe", после чего внедряет свой вредоносный код в его адресное пространство. Данный код загружает из сети Интернет четыре файла по следующим ссылкам:
http://www.yvon-publicidad.com/images/images*****
http://www.yvon-publicidad.com/images/images*****
http://www.yvon-publicidad.com/images/images*****
http://www.yvon-publicidad.com/images/images*****
По данным ссылкам могут загружаться вредоносные программы следующих семейств:
Email-Worm.Win32.Bagle
Trojan-Downloader.Win32.Agent
Trojan-Downloader.Win32.Bagle
Trojan-Downloader.Win32.Zanoza
Trojan-Proxy.Win32.Daemonize
Trojan-Proxy.Win32.Mitglieder
Trojan-Spy.Win32.Iespy
Скачанные файлы сохраняются в рабочем каталоге троянца под следующими именами соответственно:
%WorkDir%/chkdsk1.exe
%WorkDir%/chkdsk2.exe
%WorkDir%/chkdsk3.exe
%WorkDir%/ntupdate.exe
После этого троянец запускает созданные файлы, создает в своем рабочем каталоге файл командного интерпретатора, запускает его и завершает свою работу — данный файл удаляет оригинальный файл троянца, скачанные файлы и самоуничтожается.
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо воспользоваться Антивирусом Касперского и произвести полную проверку компьютера с обновленными антивирусными базами (скачать пробную версию).
Источник: viruslist.com.
|