Технические детали
Троянская программа, устанавливающая другие программы на компьютере пользователя без его ведома. Является приложением Windows (PE-EXE файл). Имеет размер 14336 байт. Упакована UPX. Распакованный размер – около 51 КБ. Написана на C++.
Деструктивная активность
После запуска троянец останавливает работу одной из следующих служб:
Schedule
RemoteRegistry
helpsvc
CryptSvc
Browser
Tapisrv
Nla
Netman
SSDPSRV
upnphost
Ntmssvc
EventSystem
xmlprov
WmdmPmSN
FastUserSwitchingCompatibility
BITS
AppMgmt
После этого бинарный файл этой службы, а именно один из следующих файлов:
%System%/schedsvc.dll
%System%/regsvc.dll
%System%/pchsvc.dll
%System%/cryptsvc.dll
%System%/browser.dll
%System%/tapisrv.dll
%System%/mswsock.dll
%System%/netman.dll
%System%/ssdpsrv.dll
%System%/upnphost.dll
%System%/ntmssvc.dll
%System%/es.dll
%System%/xmlprov.dll
%System%/mspmsnsv.dll
%System%/shsvcs.dll
%System%/qmgr.dll
%System%/appmgmts.dll
заменяется файлом, извлеченным из тела троянца. Файл имеет размер 17408 байт; детектируется Антивирусом Касперского как "Trojan-Downloader.Win32.Agent.cpeo".
Далее работа остановленной службы возобновляется.
После этого троянец создает в каталоге "%Temp%" файл командного интерпретатора, запускает его и завершает свою работу — данный файл удаляет оригинальный файл троянца и самоуничтожается.
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо воспользоваться Антивирусом Касперского: произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).
Источник: securelist.com.
| 
