Технические детали
Троянская программа. Является пакетным файлом командного интерпретатора (BAT-файл). Имеет размер 1729 байт.
Деструктивная активность
При запуске создает каталог с именем:
%WinDir%/ehome
Далее троянец загружает файл по следующим ссылкам:
http://yici.g***60.com/images/uploadfile/uploadfile/swf33/2008-3/200899172011617.swf
http://yici.g***60.com/images/uploadfile/uploadfile/swf33/2008-3/200899172011618.swf
http://yici.g***60.com/images/uploadfile/uploadfile/swf33/2008-3/200899172011619.swf
http://yici.g***60.com/images/uploadfile/uploadfile/swf33/2008-3/200899172011620.swf
http://yici.g***60.com/images/uploadfile/uploadfile/swf33/2008-3/200899172011621.swf
http://yici.g***60.com/images/uploadfile/uploadfile/swf33/2008-3/200899172011622.swf
На момент создания описания ссылки не работали.
Скачанные файлы сохраняются под следующими именами соответственно:
%WinDir%/ehome/cacls.vbs
%WinDir%/ehome/cacls.exe
%WinDir%/ehome/cacls.bat
%WinDir%/ehome/cacls1.exe
%WinDir%/ehome/cacls1.bat
%WinDir%/ehome/ca.bat
После этого троянец запускает файл «%WinDir%/ehome/cacls.vbs», удаляет свой исполняемый файл и завершает свою работу.
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
- Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
- Удалить созданный троянцем каталог и его содержимое:
%WinDir%/ehome
- Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).
Источник: securelist.com.
|