Другие модификации: .a, .ad, .cz, .dam, .fxa, .gc, .gh, .gl, .hg, .jk, .jm, .s, .tnd, .tne, .tor, .tos, .vq, .ydh, .yk, .yt, .yx
Технические детали
Троянская программа, которая без ведома пользователя скачивает на компьютер другое программное обеспечение и запускает его на исполнение. Программа является динамической библиотекой Windows (PE DLL-файл). Имеет размер 32768 байт.
Деструктивная активность
После запуска троянец собирает системную информацию с зараженного компьютера, а именно – серийный номер жесткого диска и сетевое имя компьютера. Затем, полученные данные, троянец использует при формировании ссылки, по которой будет производиться HTTP запрос:
http://af9f*****dcc.com/bt.php?mod=&id=<сетевое_имя_компьютера>_1084860184&up=9263620&mid=soboc40
По данной ссылке в каталог хранения временных файлов текущего пользователя загружается файл, который сохраняется под случайным именем:
%Temp%/rnd.tmp
где rnd – случайная цифробуквенная последовательность.
Данный файл имеет размер 72704 байта и детектируется Антивирусом Касперского как Backdoor.Win32.KeyStart.bz.
Затем происходит загрузка и запуск файла, который размещается по ссылке:
http://spa*****er.com/731l3.exe
Файл загружается в каталог хранения временных файлов текущего пользователя и сохраняется под случайным именем:
%Temp%/rnd.tmp
где rnd – случайная цифробуквенная последовательность.
Данный файл имеет размер 72704 байта и детектируется Антивирусом Касперского как Backdoor.Win32.KeyStart.cb.
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
- Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
- Удалить файлы в папке %Temp%.
- Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).
Источник: viruslist.com.
| 
