Поведение
Trojan, троянская программа.
Технические детали
Троянская программа. Является приложением Windows (PE EXE-файл). Размер зараженных файлов варьируется в пределах от 37 до 49 КБ. Ничем не упакована. Написана на C.
Деструктивная активность
После запуска троянец выполняет поиск в корневом каталоге Windows файлов с именами:
%Windir%/SVCHOST.EXE
%Windir%/svchost.exe
Если указанные файлы были найдены, происходит завершение работы текущей копии вредоносной программы.
Если указанные файлы не были найдены, происходит копирование из текущего каталога файлов с именами:
word.dat
taskmgr.dat
mscon.dat
flashrun.exe
autorun.inf
в корневой каталог Windows под следующими именами, соответственно:
%Windir%/svchost.exe
%Windir%/taskmgr.exe
%Windir%/mscon.ini
%Windir%/flashrun.exe
%Windir%/autorun.ini
Созданным копиям этих файлов устанавливаются файловые атрибуты "системный" и "скрытый".
Также при помощи диспетчера управления службами Windows (SCM) выполняется регистрация файла:
%Windir%/svchost.exe
в качестве системной службы с именем:
AotoLogon
которая отображается в списке служб с именем:
System Performance Monitor
после чего происходит запуск созданной службы.
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
- При помощи «Диспетчера задач» завершить процессы:
flashrun.exe
taskmgr.exe
- Остановить службу с именем AotoLogon с помощью команды:
net stop AotoLogon
- Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер), а также файлы, расположенные в каталоге вместе с оригинальным троянцем:
word.dat
taskmgr.dat
mscon.dat
flashrun.exe
autorun.inf
- Удалить файлы:
%Windir%/svchost.exe
%Windir%/taskmgr.exe
%Windir%/mscon.ini
%Windir%/flashrun.exe
%Windir%/autorun.ini
- Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).
Источник: viruslist.com.
| 
