Технические детали
Троянская программа, выполняющая деструктивные действия на компьютере пользователя. Является приложением Windows (PE-EXE файл). Имеет размер 272896 байт. Написана на С++.
Деструктивная активность
После запуска троянец создает следующие ключи системного реестра:
[HKCU/Software/Microsoft/Windows/CurrentVersion/Policies/Explorer/Run]
"svchost"="%Temp%/csrss.exe"
[HKCU/Software/Microsoft/jdm]
"ID"="jdm0.2_43"
Извлекает из своего тела во временный каталог текущего пользователя следующие файлы:
%Temp%/письмо.doc
Данный файл имеет размер 30208 байт.
MD5: FA5E9C16062D517572247CC9B31BDA68
%Temp%/get.exe
Данный файл имеет размер 84480 байт.
MD5: 6EB1E08AD868A251F791907B82418E4C
%Temp%/csrss.exe
Данный файл имеет размер 93696 байт и детектируется Антивирусом Касперского как Backdoor.Win32.Shell.bc.
Далее троянец открывает файл "письмо.doc" с помощью ассоциированного приложения и запускает на выполнение файл "csrss.exe".
Запущенный файл "csrss.exe" предоставляет злоумышленнику удаленный доступ к зараженному компьютеру, для чего создает подключение к 80-му порту следующего IP адреса:
81.***.*28.181
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
- Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
- Удалить файлы:
%Temp%/письмо.doc
%Temp%/get.exe
%Temp%/csrss.exe
- Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).
Источник: securelist.com.
| 
