Технические детали
Троянская программа, загружающая файлы из сети Интернет без ведома пользователя и запускающая их. Является приложением Windows (PE-EXE файл). Имеет размер 16896 байт. Упакована неизвестным упаковщиком. Распакованный размер – около 47 КБ. Написана на C++.
Деструктивная активность
После запуска троянец выполняет следующие действия:
- для идентификации своего присутствия в системе создает ключи системного реестра:
[HKCU/Software/Mozilla]
"affid" = "224"
"subid" = "new"
- Загружает из сети Интернет файлы по следующим ссылкам:
http://qu***ebgo.cn/setup/ad_64.exe
(На момент создания описания загружался файл размером 671744 байта; детектируется Антивирусом Касперского как "Trojan.Win32.Tdss.avsj")
http://bor***p.cn/setup/ad_64.exe
(На момент создания описания ссылка не работала)
http://qui***bgo.cn/setup/setup.exe
(На момент создания описания загружался файл размером 716800 байт; детектируется Антивирусом Касперского как "Trojan.Win32.Tdss.avdp")
http://bo****top.cn/setup/setup.exe
(На момент создания описания ссылка не работала)
Загруженные файлы сохраняются во временном каталоге пользователя как
%Temp%/H8SRTrnd.tmp
где rnd – случайная последовательность цифр и латинских букв.
После успешной загрузки файлы запускаются на выполнение.
- Перемещает свой оригинальный файл во временный каталог пользователя, сохраняя его под следующим именем:
%Temp%/H8SRTrnd.tmp
После этого троянец завершает свою работу.
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
- Удалить ключи системного реестра:
[HKCU/Software/Mozilla]
"affid" = "224"
"subid" = "new"
- Удалить файлы:
%Temp%/H8SRT.tmp
- Очистить каталог Temporary Internet Files.
- Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).
Источник: securelist.com.
| 
