Технические детали
Троянская программа, загружающая файлы из сети Интернет без ведома пользователя и запускающая их. Является приложением Windows (PE-EXE файл). Имеет размер 18432 байта. Написана на C++.
Деструктивная активность
После запуска троянец выполняет следующие действия:
- выгружает из системной памяти процесс "conme.exe".
- Извлекает из своего тела файл, который сохраняется в системе как
%WinDir%/conme.exe
(10240 байт; детектируется Антивирусом Касперского как "Trojan-Downloader.Win32.Agent.dbll")
- Для автоматического запуска извлеченного файла при каждом следующем старте системы дописывает в значение ключа системного реестра:
[HKLM/Software/Microsoft/Windows NT/CurrentVersion/Winlogon]
"Shell"
подстроку:
%WinDir%/conme.exe asds
При этом файл "conme.exe" будет запускаться процессом "WINLOGON.EXE" даже при загрузке системы в "безопасном режиме".
- Запускает на выполнение файл "conme.exe".
- Устанавливает для своего оригинального файла атрибуты "скрытый" (hidden) и "системный" (system).
- Запрещает отображение скрытых файлов Проводником Windows, изменяя для этого значения следующих ключей системного реестра:
[HKLM/Software/Microsoft/Windows/CurrentVersion/Explorer/Advanced/Folder/SuperHidden]
"UncheckedValue" = "0"
[HKCU/Software/Microsoft/Windows/CurrentVersion/Explorer/Advanced]
"ShowSuperHidden" = "0"
- Загружает из сети Интернет файл по следующей ссылке:
http://1.vi***0.cn/reques0.asp?kind=001&mac=MAC&key=YHTOYnXXp[HO
где – физический адрес активного сетевого адаптера.
Загруженный файл сохраняется в каталоге хранения временных файлов текущего пользователя как
%Temp%/alwpo.htm
Загруженному файлу присваиваются атрибуты "скрытый" (hidden) и "системный" (system). После успешной загрузки файл запускается на выполнение.
На момент создания описания файл не загружался.
После этого троянец завершает свою работу.
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
- Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
- Удалить подстроку
%WinDir%/conme.exe asds
в значении ключа системного реестра:
[HKLMSoftwareMicrosoftWindows NTCurrentVersionWinlogon]
"Shell"
- Восстановить исходные значения ключей системного реестра:
[HKLM/Software/Microsoft/Windows/CurrentVersion/Explorer/Advanced/Folder/SuperHidden]
"UncheckedValue"
[HKCU/Software/Microsoft/Windows/CurrentVersion/Explorer/Advanced]
"ShowSuperHidden"
- Удалить файлы:
%WinDir%/conme.exe
%Temp%/alwpo.htm
- Очистить каталог Temporary Internet Files.
- Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).
Источник: securelist.com.
|