Другие модификации: .a, .af, .at, .aw, .bbs, .bc, .cb, .cm, .cw, .do, .dr, .du, .es, .ez, .fe, .ff, .fj, .fp, .fz, .go, .gr, .hq, .ht, .hy, .if, .ig, .jh, .jp, .k, .kv, .lg, .o, .of, .p, .ra, .rd, .wb, .wz, .x, .xj, .yt
Технические детали
Троянская программа, устанавливающая другие программы на компьютере пользователя без его ведома. Является приложением Windows (PE EXE-файл). Имеет размер 21504 байта. Написана на C++.
Инсталляция
При запуске троянец перемещает файл «%WinDir%/Fonts/wuauclt.exe» и сохраняет его под именем:
c:/ss.tmp
Далее копирует свой исполняемый файл под именем:
%WinDir%/Fonts/wuauclt.exe
Для автоматического запуска при каждом следующем старте системы троянец добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:
[HKLM/Software/Microsoft/Windows/CurrentVersion/policies/explorer/run]
"360safe" = "%WinDir%/Fonts/wuauclt.exe"
Деструктивная активность
Троянец выполняет следующие действия:
- изменяет значения следующих ключей системного реестра:
[HKCU/Software/Microsoft/Internet Explorer/Main]
"Start Page" = "http://www2.07129.com/"
[HKCR/CLSID/{871C5380-42A0-1069-A2EA-08002B30309D}/shell/OpenHomePage/Command]
"(Default)" = ""C:/Program Files/Internet Explorer/iexplore.exe" www2.07129.com"
[HKCU/Software/Policies/Microsoft/Internet Explorer/Control Panel]
"Homepage" = "1"
Это приводит к изменению стартовой и домашней страницы Internet Explorer на «http://www2.07129.com/» .
- извлекает из своего тела файл и сохраняет его под именем:
%WinDir%/Downloaded Program Files/alg.exe
Данный файл имеет размер 3740 байт и детектируется Антивирусом Касперского как Exploit.Win32.IMG-WMF.fk
- запускает созданный файл с параметром «http://***wuc8.com/aa.exe»
- извлекает из своего тела файл и сохраняет его под следующим именем, после чего запускает на исполнение:
%WinDir%/Fonts/TIMPIatform.exe
Данный файл имеет размер 12288 байт и детектируется Антивирусом Касперского как Trojan-Downloader.Win32.Agent.bpeh
Кроме того каждые 25 минут троянец открывает в окне Internet Explorer ссылки:
http://joke.lia***9.com/
http://msm.moneyinf***.com/
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
- При помощи "Диспетчера задач" завершить троянский процесс.
- Удалить файлы:
%WinDir%/Fonts/wuauclt.exe
c:/ss.tmp
%WinDir%/Downloaded Program Files/alg.exe
%WinDir%/Fonts/TIMPIatform.exe
- Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
- Удалить ключ системного реестра
[HKLM/Software/Microsoft/Windows/CurrentVersion/policies/explorer/run]
"360safe" = "%WinDir%/Fonts/wuauclt.exe"
- Изменить значения ключей системного реестра на исходные:
[HKCU/Software/Microsoft/Internet Explorer/Main]
"Start Page" = "http://www2.07129.com/"
[HKCU/Software/Policies/Microsoft/Internet Explorer/Control Panel]
"Homepage" = "1"
- Изменить значение ключа системного реестра:
[HKCR/CLSID/{871C5380-42A0-1069-A2EA-08002B30309D}/shell/OpenHomePage/Command]
"(Default)" = ""C:/Program Files/Internet Explorer/iexplore.exe" www2.07129.com"
на
[HKCR/CLSID/{871C5380-42A0-1069-A2EA-08002B30309D}/shell/OpenHomePage/Command]
"(Default)" = "C:/Program Files/Internet Explorer/iexplore.exe"
- Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).
Источник: viruslist.com/.
| 
