Технические детали
Троянская программа, загружающая файлы из сети Интернет без ведома пользователя и запускающая их. Является приложением Windows (PE-EXE файл). Имеет размер 53760 байт. Написана на Delphi.
Инсталляция
После запуска троянец копирует свое тело в следующий файл:
%System%/winr.exe
При этом создается ключ системного реестра:
[HKLM/Software/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/userinit.exe]
"Debugger" = "winr.exe"
Таким образом, троянец будет запускаться в качестве отладчика каждый раз при старте процесса "userinit.exe".
Оригинальный файл троянца на этапе инсталляции удаляется.
Деструктивная активность
Для контроля уникальности своего процесса в системе троянец создает уникальный идентификатор с именем "6A57BEED". После этого для проверки подключения к сети Интернет устанавливается соединение с узлом:
google.com
Если подключение существует, троянец устанавливает соединение с хостами:
taw***do.cc
uer***mo.cc
С данных хостов на зараженный компьютер могут быть загружены другие вредоносные программы.
На момент создания описания указанные сервера не отвечали.
Троянец способен внедрять свой вредоносный код в адресные пространства системных процессов:
csrss.exe
svchost.exe
winlogon.exe
explorer.exe
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
- Удалить ключ системного реестра:
[HKLM/Software/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/userinit.exe]
"Debugger" = "winr.exe"
- Перезагрузить компьютер.
- Удалить файл:
%System%/winr.exe
- Очистить каталог Temporary Internet Files.
- Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).
Источник: securelist.com.
| 
