Технические детали
Троянская программа, устанавливающая другие программы на компьютере пользователя без его ведома. Является приложением Windows (PE-EXE файл). Имеет размер 12133 байта. Упакована UPack. Распакованный размер – около 102 КБ. Написана на C++.
Деструктивная активность
После запуска троянец извлекает из своего тела файл, который сохраняется в системе под следующим именем:
%Temp%/~rnd.~~~
(32768 байт; детектируется Антивирусом Касперского как "Backdoor.Win32.Small.gzp") где rnd – случайная последовательность цифр и латинских букв (например: "526fe6a").
Далее троянец запускает системную утилиту "rundll32.exe" со следующими параметрами:
%Temp%/~rnd.~~~ test полный путь к оригинальному файлу троянца
Таким образом, вызывается функция "test" из извлеченной ранее библиотеки. После этого троянец завершает свою работу.
Извлеченная троянцем библиотека "%Temp%/~rnd.~~~" реализует следующий функционал:
- файл библиотеки копируется в файлы:
%System%/csrss.dll
%System%/rpcss.dll
- Удаляются файлы:
%System%/ServicePackFiles/i386/rpcss.dll
%System%/dllcache/rpcss.dll
- Из тела библиотеки извлекаются файлы, сохраняемые в системе под следующими именами:
%System%/sh14034.ini
(2880 байт)
%System%/sh14034.dll
(20992 байта; детектируется Антивирусом Касперского как "Trojan-GameThief.Win32.OnLineGames.bksf")
- исполняемый код библиотеки "%System%sh14034.dll" внедряется в адресное пространство процесса "explorer.exe".
- Функция "test" вызывается со строковым параметром, содержащим полный путь к оригинальному файлу троянца. Данный файл будет удален.
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
- Перезагрузить компьютер в «безопасном режиме» (в самом начале загрузки нажать и удерживать клавишу «F8», затем выбрать пункт «Safe Mode» в меню загрузки Windows).
- Удалить файлы:
%Temp%/~rnd.~~~
%System%/sh14034.ini
%System%/sh14034.dll
- Восстановить оригинальное содержимое файлов:
%System%/csrss.dll
%System%/rpcss.dll
- Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).
Источник: securelist.com.
|