Технические детали
Троянская программа, которая без ведома пользователя скачивает на компьютер другое программное обеспечение и запускает его на исполнение. Является приложением Windows (PE-EXE файл). Имеет размер 75264 байта. Написана на C++.
Деструктивная активность
После запуска троянец извлекает из своего тела вредоносную библиотеку, которую размещает в системном каталоге и в каталоге временного хранения файлов текущего пользователя под следующими именами:
%System%/nnfj.tqo
%Temp%/rnd.tmp
где rnd – случайное десятичное значение. Данные файлы имеют размер 20480 байт и детектируются антивирусом Касперского как Trojan.Win32.Sasfis.ajil.
Для автозапуска вредоносной библиотеки при следующем старте ОС, троянец добавляет следующую информацию в системный реестр:
[HKLM/Software/Microsoft/Windows NT/CurrentVersion/Winlogon]
"Shell"="Explorer.exe rundll32.exe nnfj.tqo nhemkk"
Далее троянец выполняет внедрение кода вредоносной библиотеки в системный процесс "svchost.exe".
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
- Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
- Удалить параметры из ключа реестра:
[HKLM/Software/Microsoft/Windows NT/CurrentVersion/Winlogon]
"Shell"="Explorer.exe rundll32.exe nnfj.tqo nhemkk"
- Удалить файлы:
%System%/nnfj.tqo
%Temp%/rnd.tmp
- Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).
Источник: securelist.com.
| 
