Технические детали
Троянская программа, загружающая файлы из сети Интернет без ведома пользователя и запускающая их. Является приложением Windows (PE-EXE файл). Имеет размер 2560 байт. Написана на C++.
Деструктивная активность
После запуска троянец запускает процесс
%Program Files%/Internet Explorer/iexplore.exe
и внедряет в его адресное пространство код, выполняющий загрузку из сети Интернет файлов по следующим ссылкам:
http://kno***e94.com/load/1.exe
http://kno***e94.com/load/2.exe
http://kno***e94.com/load/3.exe
http://kno***e94.com/load/4.exe
http://kno***e94.com/load/5.exe
На момент создания описания ссылки не работали.
Загруженные файлы сохраняются в каталоге хранения временных файлов пользователя под случайными именами. После успешной загрузки файлы запускаются на выполнение.
Кроме того, выполняется обращение по следующей ссылке:
http://ifr***iz.com/stata/add.php?
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
- При помощи Диспетчера задач завершить процесс "iexplore.exe".
- Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
- Очистить каталог хранения временных файлов пользователя "%Temp%".
- Очистить каталог Temporary Internet Files.
- Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).
Источник: securelist.com.
|