Другие модификации: .a, .ad, .cz, .dam, .fxa, .gc, .gh, .gl, .hg, .jk, .jm, .s, .tnd, .tne, .tor, .tos, .vq, .yk, .yt, .yx
Технические детали
Троянская программа, которая без ведома пользователя загружает из сети Интернет другие вредоносные программы и запускает их на выполнение. Программа является приложением Windows (PE EXE-файл). Имеет размер 34816 байт. Ничем не упакована. Написана на C++.
Инсталляция
После запуска троянец копирует свое тело во временный каталог Windows под именами "hbgdown.exe" и "msdtc.exe":
%Temp%/hbgdown.exe
%Temp%/msdtc.exe
Далее для автоматического запуска при следующем старте системы троянец создает службу с именем "HTTP SSH":
[HKLM/SYSTEM/CurrentControlSet/Services/HTTP SSH]
"DisplayName" = " HTTP SSH"
"ErrorControl" = "0"
"ImagePath" = "%Temp%/msdtc.exe"
"ObjectName" = "LocalSystem"
"Start" = "2"
"Type" = "10"
Деструктивная активность
Троянец производит загрузку файла со следующего URL:
http://*****gcdon.com.cn/v.exe
Загруженный файл сохраняется во временный каталог Windows под именем "gbn.exe":
%Temp%/gbn.exe
После успешного сохранения файл запускается на выполнение.
На момент создания описания указанная ссылка не работала.
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
- При помощи ( "Диспетчера задач") завершить троянский процесс.
- Удалить ключ системного реестра:
[HKLM/SYSTEM/CurrentControlSet/Services/HTTP SSH]
- Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
- Удалить файлы:
%Temp%/hbgdown.exe
%Temp%/msdtc.exe
%Temp%/gbn.exe
- Очистить каталог %Temporary Internet Files%.
- Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).
Источник: viruslist.com.
| 
