Технические детали
Троянская программа, загружающая файлы из сети Интернет без ведома пользователя и запускающая их. Является приложением Windows (PE-EXE файл). Имеет размер 6656 байт. Написана на C++.
Деструктивная активность
После запуска троянец выполняет следующие действия:
в отдельном потоке проверяет наличие в системе процесса "qq.exe". Если процесс запущен, то выполняется обращение по ссылке:
http://www1.fdc***8.cn/c2/getmac.asp?x=&y=x1&t=zQz&z=698d
В этом же потоке в бесконечном цикле завершается процесс "cmd.exe".
Загружает из сети Интернет файл по ссылке:
http://txt.a***m.com/xx.txt
(На момент создания описания ссылка не работала)
Загруженный файл сохраняется в каталоге хранения временных файлов текущего пользователя "%Temp%" под случайным именем, и содержит ссылки для загрузки на зараженный компьютер других вредоносных программ.
Загружает по полученным ссылкам файлы, сохраняя их в каталоге "%Temp%" под случайными именами. После успешной загрузки файлы запускаются на выполнение.
Загружает файл по ссылке:
http://txt.a***m.com/ad.txt
(На момент создания описания ссылка не работала)
и подменяет загруженным файлом файл "hosts":
%System%/drivers/etc/hosts
Обращается по следующей ссылке:
http://www1.fd***88.cn/w1/getmac.asp?x=физический адрес активного сетевого адаптера&y=x1&z=698d
Загружает из сети Интернет файл по следующей ссылке:
http://d.nk***s.com/xx.exe
(На момент создания описания ссылка не работала)
Загруженный файл сохраняется в каталоге "%Temp%" под случайным именем. После успешной загрузки файл запускается на выполнение.
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
- При помощи Диспетчера задач завершить троянский процесс.
- Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
- Удалить загруженные троянцем файлы в каталоге "%Temp%".
- Восстановить оригинальное содержимое файла:
%System%/drivers/etc/hosts
- Очистить каталог Temporary Internet Files.
- Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).
Источник: securelist.com.
|