Технические детали
Троянская программа. Программа является приложением Windows (PE EXE-файл). Имеет размер 23040 байт. Написана на С++.
Инсталляция
Если троянец был запущен с именем отличным от "rs32net.exe", то он копирует свое тело в системный каталог Windows под именем "rs32net.exe":
%System%/rs32net.exe
Далее для автоматического запуска при каждом следующем старте системы троянец создает ссылку на свой исполняемый файл в ключе автозапуска системного реестра:
[HKLM/Software/Microsoft/Windows/CurrentVersion/Run]
"rs32net" = "%System%/rs32net.exe"
После чего оригинальное тело троянца удаляется.
В противном случае, троянец добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:
[HKLM/Software/Microsoft/Windows/CurrentVersion/Run]
"rs32net" = "путь_к_оригинальному_телу_троянца"
Деструктивная активность
После запуска троянец запускает системный процесс:
%System%/svchost.exe
И внедряет свой вредоносный код в его адресное пространство.
Данный код детектируется Антивирусом Касперского как Trojan-Downloader.Win32.Small.absw и пытается получить файлы для загрузки с сервера злоумышленника:
http://195.2.253.***
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
- При помощи ( "Диспетчера задач") завершить троянский процесс.
- Удалить ключи (системного реестра):
[HKLM/Software/Microsoft/Windows/CurrentVersion/Run]
"rs32net" = "%System%/rs32net.exe"
или
[HKLM/Software/Microsoft/Windows/CurrentVersion/Run]
"rs32net" = "путь_к_оригинальному_телу_троянца"
- Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
- Удалить файл:
%System%/rs32net.exe
- Очистить каталог %Temporary Internet Files%.
- Перезагрузить компьютер.
- Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).
Источник: viruslist.com.
| 
