Технические детали
Троянская программа, устанавливающая другие программы на компьютере пользователя без его ведома. Является приложением Windows (PE EXE-файл). Имеет размер 48128 байт. Написана на C++.
Инсталляция
При запуске троянец копирует свой исполняемый файл под случайными именами:
%Temp%/rnd.exe
%System%/rnd.exe
Для автоматического запуска при каждом следующем старте системы троянец добавляет ссылку на свои исполняемые файлы в ключи автозапуска системного реестра:
[HKCU/Software/Microsoft/Windows/CurrentVersion/Run]
"rnd"="%Temp%/rnd.exe"
[HKLM/Software/Microsoft/Windows/CurrentVersion/Run]
"rnd"="%System%/rnd.exe"
Деструктивная активность
Троянец извлекает из своего тела файл и сохраняет его во временном каталоге текущего пользователя под следующим именем:
%Temp%/rnd.dll
Данный файл имеет размер 44544 байт и детектируется Антивирусом Касперского как Trojan.Win32.AF.20.
После этого троянец вызывает функцию "Init" созданной библиотеки, после чего завершает свою работу.
При запуске бибилиотека выполняет следующие действия:
- устанавливает функцию-перехватчик на очередь сообщений для окна с именем "Program Manager".
- копирует свой файл в системный каталог Windows под именем:
%System%/rnd.dll
- осуществляет сетевое взаимодействие посредством IRC-канала со следующими IP-адресами используя при этом случайные данные:
216.***.163
216.***.164
Троянец может получать команды и выполнять следующие действия: принимать и запускать файлы, соединяться с другими ресурсами, создавать или изменять ключи системного реестра или их значения, деинсталлировать себя полностью, организовывать DOS-атаки.
Также при работе троянец создает уникальный идентификатор с именем "AFCORE 06/18/01 10:30:28".
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).
Источник: securelist.com.
| 
