Технические детали
Троянская программа, которая без ведома пользователя скачивает на компьютер другое программное обеспечение. Программа является приложением Windows (PE DLL-файл). Имеет размер 23040 байт. Написана на C++.
Инсталляция
После активации троянец копирует свое тело в системный каталог Windows под именем "rivt.ydo":
%System%/calc.ifo
Для автоматического запуска при следующем старте системы троянец добавляет запись в ключ автозапуска системного реестра:
[HKLM/Software/Microsoft/Windows NT/CurrentVersion/Winlogon]
"Shell"="Explorer.exe rundll32.exe calc.ifo before1main"
Деструктивная активность
Если на компьютере пользователя был установлен пакет приложений "Microsoft Office", то троянец устанавливает низкий уровень безопасности, записав следующие значения в ключ системного реестра:
[HKCU/Software/Microsoft/Office/11.0/Word/Security]
"Level" = "1"
"AccessVBOM" = "1"
И выполняет макрос, с помощью которого запускает на выполнение оригинальное тело троянца.
Для контроля уникальности своего процесса в системе троянец создает уникальный идентификатор с именем:
94922394038940204
Далее троянец создает процесс с именем "svchost.exe" и внедряет в него вредоносный код:
svchost.exe
Троянец отправляет запрос по следующему адресу:
http://4s***2.cn/ld0/use.php
В ответ получает файл конфигурации для дальнейшей своей работы.
Ссылки для загрузки других вредоносных файлов, полученные из файла конфигурации, троянец сохраняет в следующем ключе реестра:
[HKCR/idid]
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
- Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
- Удалить файлы:
%System%/calc.ifo
- Очистить каталог Temporary Internet Files.
- Удалить ключ системного реестра:
[HKCR/idid]
- При необходимости восстановить значения параметров "Level" и "AccessVBOM" в ключе системного реестра:
[HKCU/Software/Microsoft/Office/11.0/Word/Security]
"Level"
"AccessVBOM"
- Восстановить значение параметра ключа системного реестра на следующее:
[HKLM/Software/Microsoft/Windows NT/CurrentVersion/Winlogon]
"Shell" = "Explorer.exe"
- Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).
Источник: securelist.com.
|