Технические детали
Троянская программа, выполняющая деструктивные действия на компьютере пользователя. Является приложением Windows (PE-EXE файл). Имеет размер 18910 байт. Упакована FSG. Распакованный размер около — 90КБ. Написана на Delphi.
Инсталляция
После запуска троянец копирует свой исполняемый файл в каталог Windows с именем:
%WinDir%/rndM.exe
где rnd — 2 десятичных числа.
Затем устанавливает скопированному файлу атрибуты "Скрытый", "Системный".
Для автоматического запуска при следующем старте системы троянец добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:
[HKLM/Software/Microsoft/Windows/CurrentVersion/Run]
"WinSysM" = "%WinDir%/rndM.exe"
Деструктивная активность
Далее троянец пытается выполнить загрузку файлов, находящихся по следующим ссылкам:
http://192.168.1.***/version.txt
http://192.168.1.***/ MIR.dll
и сохранить их затем под именами:
%WinDir%/version.txt
%WinDir%/rndM.dll
На момент создания описания ссылки не работали. Затем запрещает перезагрузку в режиме MS-DOS, удаляя параметр "NoRealMode" из ключа системного реестра:
[HKCU/Software/Microsoft/Windows/CurrentVersion/Policies/WinOldApp]
После этого вредонос выполняет внедрение функционала загруженной библиотеки в адресное пространство процесса "explorer.exe".
Для удаления своего файла троянец создает в системном каталоге Windows BAT-файл с именем:
%System%/Deleteme.bat
В завершении троянец запускает на выполнение файл командного интерпретатора "Deleteme.bat".
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
- Удалить параметры в ключах реестра (566">как работать с реестром?):
[HKLM/Software/Microsoft/Windows/CurrentVersion/Run]
"WinSysM" = "%WinDir%/rndM.exe"
- Удалить файлы:
"WinSysM" = "%WinDir%/rndM.exe"
%WinDir%/version.txt
%WinDir%/rndM.dll
- Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).
Источник: securelist.com.
|