Технические детали
Троянская программа, предоставляющая злоумышленнику удаленный доступ к зараженному компьютеру. Является динамической библиотекой Windows (PE DLL-файл). Имеет размер 751725 байт. Написана на Delphi.
Деструктивная активность
После активации троянец соединяется с одним из следующих серверов злоумышленника:
cache.dyndns.tv
docs.dyndns.org
dns.dellsupports.com
krb.dellsupports.com
На сервер злоумышленника передается следующая информация:
имя компьютера;
IP-адрес зараженной системы;
версия и название операционной системы;
список запущенных процессов в системе.
Информация о системе сохраняется в рабочем каталоге троянца под именем "log.dat":
%Work%/log.dat
Троянец копирует свое тело в следующие каталоги клиента терминального сервера (Terminal Server Client):
//tsclient/%WinDir%/SysWoW64/оригинальное имя троянской программы.dll
//tsclient/%System%/оригинальное имя троянской программы.dll
Троянец создает SQL таблицу с именем "siweb3file", в которой хранит команды для запуска. При помощи данных команд троянец создает задание с именем "abc82", которое позволяет получить злоумышленнику доступ к командному интерпретатору на зараженной системе. Список команд может обновляется с серверов злоумышленника. На момент создания описания вышеуказанные сервера не работали.
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
- Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
- Очистить каталог Temporary Internet Files.
- Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).
Источник: securelist.com.
| 
