Технические детали
Троянская программа, относящаяся к семейству троянцев ворующих пароли от пользовательских учетных записей on-line игр. Программа является приложением Windows (PE EXE-файл). Имеет размер 16896 байт. Упакована при помощи Upx. Распакованный размер — около 33 КБ. Написана на C++.
Деструктивная активность
После активации троянец извлекает из своего тела в системный каталог Windows две динамические библиотеки DLL под именами "Yxjansa.dll" и "Imansnaa.dll":
%System%/Yxjansa.dll
Данный файл имеет размер 3584 байта и детектируется Антивирусом Касперского, как Trojan-GameThief.Win32.OnLineGames.bmlz.
%System%/Imansnaa.dll
Данный файл имеет размер 9216 байт и детектируется Антивирусом Касперского, как Trojan-GameThief.Win32.OnLineGames.bmnt.
Далее в системный каталог Windows троянец извлекает файл под именем "Unamsxa.dat":
%System%/Unamsxa.dat
Данный файл имеет размер 256 байт, используется библиотекой "%System%/Imansnaa.dll",содержит в зашифрованном виде следующий URL:
http://www.u*****.cn/heroland/03/request.asp
Затем троянец копирует файл %System%/rundll32.exe в файл:
%System%/myInsDll.exe
После чего данный файл используется для запуска извлеченных библиотек.
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
- При помощи ( "Диспетчера задач") завершить троянский процесс.
- Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
- Удалить файлы:
%System%/Yxjansa.dll
%System%/Imansnaa.dll
%System%/Unamsxa.dat
%System%/myInsDll.exe
- Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).
Источник: securelist.com.
| 
