Технические детали
Троянская программа, выполняющая деструктивные действия на компьютере пользователя. Программа является приложением Windows (PE EXE-файл). Имеет размер 39936 байт. Упакована неизвестным упаковщиком. Распакованный размер — около 67 КБ. Написана на C++.
Деструктивная активность
Троянец создает во временном каталоге Windows файл "clkrnd1.nls" (где rnd1 — случайный набор цифр):
%Temp%/clkrnd1.nls
Данный файл имеет размер 2304 байта и детектируется Антивирусом Касперского как Rootkit.Win32.Tiny.cr.
Затем троянец сканирует системный каталог Windows и выбирает случайный файл, из имени которого получает два первых символа. После этого добавляет к этим символам случайное число и расширение "sys" и копирует ранее извлеченный файл под получившимся именем, например:
%System%/at1394.sys
Далее для автоматического запуска при каждом следующем старте системы троянец добавляет запись в ключ сервисов системного реестра:
[HKLM/System/CurrentControlSet/Services/at1394]
После этого троянец создает во временном каталоге Windows файл "clkrnd2.nls" (где rnd2 — случайный набор цифр):
%Temp%/clkrnd2.nls
Данный файл имеет размер 20992 байта и детектируется Антивирусом Касперского как Trojan.Win32.Obfuscated.aeob.
Затем троянец сканирует системный каталог Windows и выбирает случайный файл, из имени которого получает два первых символа. После этого добавляет к этим символам случайное число и расширение "sys" и копирует ранее извлеченный файл под получившимся именем, например:
%System%/6to4v32.dll
Далее для автоматического запуска при каждом следующем старте системы троянец добавляет запись в ключ сервисов системного реестра:
[HKLM/System/CurrentControlSet/Services/6to4]
После этого завершает свою работу и удаляет оригинальный исполняемый файл.
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
- Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер), если троянец сам его не удалит.
- Удалить файлы, созданные троянцем:
%System%/at1394.sys
%System%/6to4v32.dll
- Удалить ключи системного реестра:
[HKLM/System/CurrentControlSet/Services/at1394]
[HKLM/System/CurrentControlSet/Services/6to4]
- Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).
Источник: securelist.com.
|