Технические детали
Троянская программа, загружающая файлы из сети Интернет без ведома пользователя и запускающая их. Является приложением Windows (PE-EXE файл). Имеет размер 4096 байт. Написана на C++.
Деструктивная активность
После запуска троянец извлекает из своего тела файл, который сохраняется в каталоге хранения временных файлов текущего пользователя "%Temp%" как
%Temp%/rnd.vbs
где rnd – случайное восьмизначное десятичное число.
Извлеченный файл имеет размер 502 байта, и представляет собой сценарий языка Visual Basic Script, предназначенный для загрузки из сети Интернет на зараженный компьютер файла по следующей ссылке:
http://www.ph****c.co.kr/upload/Notice/id.exe
На момент создания описания указанная ссылка не работала.
Загруженный файл сохраняется в системе как
%Documents and Settings%/temp.exe
После успешной загрузки файл будет запущен на выполнение.
Далее троянец запускает извлеченный скрипт. По окончании работы скрипта, он будет удален. После этого троянец завершает свою работу.
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
- Удалить файл:
%Documents and Settings%/temp.exe
- Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
- Очистить каталог Temporary Internet Files.
- Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).
Источник: securelist.com.
| 
