Технические детали
Троянская программа, устанавливающая другие программы на компьютере пользователя без его ведома. Является приложением Windows (PE EXE-файл). Имеет размер 15872 байта. Написана на C++.
Деструктивная активность
При запуске троянец проверяет статус служб со следующими именами:
Schedule
RemoteRegistry
Helpsvc
CryptSvc
Themes
Browser
Tapisrv
Nla
Netman
SSDPSRV
Upnphost
Ntmssvc
EventSystem
Xmlprov
WmdmPmSN
FastUserSwitchingCompatibility
BITS
AppMgmt
Далее троянец извлекает из своего тела файл и заменяет им исполняемый файл первой остановленной службы из списка.
При этом созданный файл может сохраняться под одним из следующих имен, соответствующих используемой службе:
%System%/schedsvc.dll
%System%/regsvc.dll
%System%/pchsvc.dll
%System%/cryptsvc.dll
%System%/browser.dll
%System%/tapisrv.dll
%System%/mswsock.dll
%System%/netman.dll
%System%/ssdpsrv.dll
%System%/upnphost.dll
%System%/ntmssvc.dll
%System%/es.dll
%System%/xmlprov.dll
%System%/mspmsnsv.dll
%System%/shsvcs.dll
%System%/qmgr.dll
%System%/appmgmts.dll
Данный файл имеет размер 9729 и детектируется Антивирусом Касперского как Trojan-Downloader.Win32.Clan.c.
После этого троянец создает файл командного интерпретатора, запускает его и завершает свою работу — данный файл удаляет оригинальный файл троянца и самоуничтожается.
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо воспользоваться Антивирусом Касперского: произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).
Источник: securelist.com.
| 
