Технические детали
Троянская программа. Является приложением Windows (PE-EXE файл). Имеет размер 244927 байт. Данная вредоносная программа создана при помощи системы создания инсталляционных пакетов Nullsoft Scriptable Install System.
MD5: 7003963d962370829041e90d6ec07487
SHA1: ae9c32afd65727a1864075caaf0461d57acbb79e
Инсталляция
При запуске для автоматического запуска при каждом следующем старте системы троянец добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:
[HKCU/Software/Microsoft/Windows/CurrentVersion/Run]
"bcm"=""
Деструктивная активность
Троянец извлекает из своего тела файл и сохраняет его под следующим именем:
%AppData%/bcm/bcm.exe
Данный файл имеет размер 743936 байт и является клиентской программой для генерации биткоинов.
Троянец запускает созданный файл с определенными параметрами. В качестве логина и пароля используются следующие данные:
Login: john***88@mail.com
Password: J3***Q0xa
Таким образом зараженный компьютер используется злоумышленником для генерации биткоинов в собственный кошелек.
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
- Удалить оригинальный файл программы (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
- Удалить ключ системного реестра:
[HKCU/Software/Microsoft/Windows/CurrentVersion/Run]
"bcm"
- При помощи "Диспетчера задач" завершить процесс:
bcm.exe
- Удалить файл:
%AppData%/bcm/bcm.exe
- Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).
Источник: securelist.com.
| 
