Технические детали
Троянская программа, открывающая в браузере различные веб-страницы без ведома пользователя. Является приложением Windows (PE-EXE файл). Имеет размер 172544 байта. Написана на С++.
Инсталляция
Троянец создает свою копию во временном каталоге текущего пользователя под следующим именем:
%Temp%/Player.exe
Для автоматического запуска при каждом следующем старте системы троянец добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:
[HKCU/Software/Microsoft/Windows/CurrentVersion/Run]
"Player"="%Temp%/player.exe"
Деструктивная активность
Для контроля присутствия в системе создает уникальный идентификатор с именем:
Global/DRV10
Далее троянец каждые 30 минут обращается по следующему адресу:
http://78.***.21/update.php?v=0.1.4&id=1132-4536-1223-5554-6632
Если соединение прошло успешно, и была получена ссылка, то троянец, выполняет загрузку по этой ссылке и сохраняет полученный файл во временный каталог текущего пользователя под именем:
%Temp%/updater.exe
После чего происходит запуск скачанного файла, и троянец завершает свою работу.
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
- При помощи Диспетчера задач завершить троянский процесс.
- Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
- Удалить файлы:
%Temp%/Player.exe
%Temp%/updater.exe
- Удалить параметр системного реестра:
[HKCU/Software/Microsoft/Windows/CurrentVersion/Run]
"Player"="%Temp%/player.exe"
- Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).
Источник: securelist.com.
| 
