Другие модификации: .ay, .bi, .cp, .ct, .vk, .wy
Технические детали
Троянская программа. Является приложением Windows (PE EXE-файл). Имеет размер 417792 байта. Упакована при помощи UPX. Распакованный размер – около 439 КБ. Написана на С++.
Инсталляция
После активации троянец копирует свое тело в каталог автозагрузки текущего пользователя Windows:
%Documents and Settings%/user_name/Main Menu/Programs/Startup/uninstall.exe
Деструктивная активность
После перезагрузки зараженного компьютера троянец извлекает из своего тела файл с именем из следующего списка:
%Documents and Settings%/user_name/Application Data/svchosts.exe
%Documents and Settings%/user_name/Application Data/taskmon.exe
%Documents and Settings%/user_name/Application Data/rundll.exe
%Documents and Settings%/user_name/Application Data/service.exe
%Documents and Settings%/user_name/Application Data/sound.exe
%Documents and Settings%/user_name/Application Data/upnpsvc.exe
%Documents and Settings%/user_name/Application Data/lsas.exe
%Documents and Settings%/user_name/Application Data/logon.exe
%Documents and Settings%/user_name/Application Data/helper.exe
%Documents and Settings%/user_name/Application Data/event.exe
%Documents and Settings%/user_name/Application Data/dumpreport.exe
%Documents and Settings%/user_name/Application Data/msiexeca.exe
Данный файл имеет размер 404992 байта и детектируется Антивирусом Касперского, как Trojan-Downloader.Win32.Agent.aoth.
Для автоматического запуска при каждом следующем старте системы троянец создает ссылку на извлеченный файл в ключе автозапуска системного реестра:
[HKCU/Software/Microsoft/Windows/CurrentVersion/Run]
"rnd1" = "rnd2"
где rnd1 - имя, выбранное из списка:
CrashDump
EventLog
Init
lsass
Regscan
RunDll
Setup
Sound
svchosts
System
TaskMon
UPNP
Windows
rnd2 - путь к извлеченному файлу из списка указанного выше.
По завершению работы троянец удаляет свое оригинальное тело и копию "%Documents and Settings%/user_name/Main Menu/Programs/Startup/uninstall.exe".
Данная троянская программа не работает на операционной системе Windows с русской локализацией.
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
- При помощи ( "Диспетчера задач") завершить троянский процесс.
- Удалить ключ (системного реестра):
[HKCU/Software/Microsoft/Windows/CurrentVersion/Run]
"rnd1" = "rnd2"
- Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
- Удалить файлы:
%Documents and Settings%/user_name/Application Data/svchosts.exe
%Documents and Settings%/user_name/Application Data/taskmon.exe
%Documents and Settings%/user_name/Application Data/rundll.exe
%Documents and Settings%/user_name/Application Data/service.exe
%Documents and Settings%/user_name/Application Data/sound.exe
%Documents and Settings%/user_name/Application Data/upnpsvc.exe
%Documents and Settings%/user_name/Application Data/lsas.exe
%Documents and Settings%/user_name/Application Data/logon.exe
%Documents and Settings%/user_name/Application Data/helper.exe
%Documents and Settings%/user_name/Application Data/event.exe
%Documents and Settings%/user_name/Application Data/dumpreport.exe
%Documents and Settings%/user_name/Application Data/msiexeca.exe
- Очистить каталог %Temporary Internet Files%.
- Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).
Источник: viruslist.com.
|