Технические детали
Троянская программа, предоставляющая злоумышленнику удаленный доступ к зараженному компьютеру. Программа является динамической библиотекой Windows (PE DLL-файл). Имеет размер 3584 байта. Написана на C++.
Деструктивная активность
После активации вредоносная библиотека загружает WDM аудио драйвер:
%System%/wdmaud.drv
и получает адреса следующих функций:
DriverProc
auxMessage
midMessage
modMessage
mxdMessage
widMessage
wodMessage
Затем продолжает свою работу, если вредоносный функционал выполняется в адресном пространстве процесса "explorer.exe". Далее вредонос запускает файл с именем:
D:/Windows Media Player/Program Files/XLBugReport.exe
На момент создания описания файл отсутствовал.
После этого пытается заменить файл драйвера "wdmaud.drv" файлом:
C:/Program Files/Common Files/System/Photoshop.jpg
На момент создания описания файл отсутствовал. Затем удаляет файл:
C:/Program Files/Common Files/System/Photoshop.jpg
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
- При помощи Диспетчера задач завершить процесс "explorer.exe".
- Удалить оригинальный файл вредоноса (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
- При наличии удалить файлы:
C:/Program Files/Common Files/System/Photoshop.jpg
D:/Windows Media Player/Program Files/XLBugReport.exe
- Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).
Источник: securelist.com.
| 
