Технические детали
Троянская программа, относящаяся к семейству троянцев ворующих пароли от пользовательских учетных записей on-line игр. Программа является приложением Windows (PE EXE-файл). Имеет размер 18944 байта. Упакована при помощи UPX. Распакованный размер – около 32 КБ. Написана на C++.
Деструктивная активность
После активации троянец извлекает из своего тела следующие файлы в системный каталог Windows:
%System%/qrd.dll
Данный файл имеет размер 7680 байт, детектируется Антивирусом Касперского, как Trojan-Downloader.Win32.Agent.gxvs.
%System%/rnd.ime
где rnd - случайная последовательность цифр, например "5553558".
Данный файл имеет размер 7168 байт, детектируется Антивирусом Касперского, как Trojan-PSW.Win32.QQPass.aklm.
%System%/dazz.dat
Данный файл имеет размер 256 байт. В данном файле троянец хранит свою служебную информацию в зашифрованном виде.
Далее троянец копирует файл:
%System%/rundll32.exe
во временный каталог текущего пользователя Windows:
%Temp%/Р $
При помощи данной копии системного файла "%System%
undll32.exe" троянец запускает на выполнение извлеченные динамические библиотеки DLL.
По завершению работы троянец удаляет свое оригинальное тело.
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
- При помощи Диспетчера задач завершить троянский процесс.
- Удалить файлы:
%System%/qrd.dll
%System%/rnd.ime
%System%/dazz.dat
- Очистить каталог Temporary Internet Files.
- Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).
Источник: securelist.com.
| 
