Технические детали
Вредоносная программа, предназначенная для скрытия других троянских программ в системе. Программа является приложением Windows (PE DLL-файл). Имеет размер 29448 байт. Упакована неизвестным упаковщиком. Распакованный размер - около 93 KБ. Написана на C++.
Инсталляция
При запуске извлекает из своего тела во временный каталог текущего пользователя файл со случайным именем вида:
%Temp%/rnd1.sys
Где rnd1 - произвольная последовательность из цифр и букв латинского алфавита, например "2i1k17".
Данный файл имеет размер 19011 байт и детектируется Антивирусом Касперского как Trojan-GameThief.Win32.OnLineGames.rce.
После извлечения файл перемещается в системную папку под следующим именем:
%System%/wincab.sys
Для автоматического запуска троянец создает в системе службу, которая запускает его исполняемый файл при каждой последующей загрузке Windows, при этом создается следующий ключ реестра:
[HKLM/System/CurrentControlSet/Services/Wincab]
Деструктивная активность
Завершает следующие процессы:
KAV
RAV
AVP
KAVSVC
Так же скрывает файлы, процессы и ключи реестра, содержащие в имени подстроку “wincab” при помощи подмены обработчиков следующих функций:
NtEnumerateKey
NtEnumerateValueKey
NtQueryDirectoryFile
NtQuerySystemInfromation
в KeServiceDescriptorTable.
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
- Перезагрузить компьютер в "безопасном режиме" (в самом начале загрузки нажать и удерживать клавишу "F8", затем выбрать пункт "Safe Mode" в меню загрузки Windows).
- Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
- Удалить ключ системного реестра:
[HKLM/System/CurrentControlSet/Services/Wincab]
- Удалить файлы:
%Temp%/rnd1.sys
%System%/wincab.sys
- Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).
Источник: securelist.com.
|