Технические детали
Троянская программа, которая без ведома пользователя загружает из сети Интернет другие вредоносные программы и запускает их на выполнение. Программа является приложением Windows (PE-EXE файл). Имеет размер 16384 байта. Упакована неизвестным упаковщиком. Распакованный размер — около 54 КБ. Написана на С++.
Деструктивная активность
Для контроля уникальности своего процесса в системе троянец создает уникальный идентификатор с именем:
f001adde32815f8d17385ec7d81e52ea
Далее троянец выполняет загрузку файлов со следующих URL:
http://promo.vicandtish.com/dbg.php
http://senior.byte4byte.com/update.php?safebrowsing=VCXBNMBVCBNYTRZKHJK
http://senior.byte4byte.com/update.php?safebrowsing=JHBGFCFZFSHVDXHJKJHG
На момент создания описания ссылки не работали.
Загруженные файлы сохраняются в следующий каталог под случайно сгенерированными именами:
%Document and Settings%/%Current User%/%AppData/%/rnd.exe
где rnd - случайная цифробуквенная последовательность, например "XN0HF8xR" или "s2ve2g06".
После успешного сохранения загруженные файлы запускаются на выполнение.
По завершению работы троянец удаляет свое оригинальное тело.
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
- При помощи ( "Диспетчера задач") завершить троянский процесс.
- Удалить файлы:
%Document and Settings%/%Current User%/%AppData/%/rnd.exe
- Очистить каталог Temporary Internet Files.
- Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).
Источник: securelist.com.
| 
