Другие версии: .a, .af, .at, .aw, .bc, .cb, .cm, .cw, .do, .dr, .du,
.ez, .ff, .fj, .fp, .fz, .go, .gr, .hq, .ht, .if, .ig, .k, .kv, .lg, .o, .of, .p, .ra, .rd, .x, .yt
Поведение
Trojan-Dropper, троянский контейнер.
Технические детали
Троянец, который устанавливает и запускает другое программное обеспечение на зараженном компьютере без ведома пользователя. Является приложением Windows (PE EXE-файл). Имеет размер 64000 байт.
Деструктивная активность
Троянец расшифровывает и извлекает из своего тела в системный каталог Windows файл размером 46080 байт. Имя файла выбирается произвольным образом из следующего списка:
nptotect.exe,
alg.exe,
peverify.exe,
makehm.exe,
dw.exe,
mc.exe,
undname.exe,
mdm.exe,
ranlib.exe,
vmwareeufad.exe,
vnetlib.exe,
vnetstats.exe,
deviceemulator.exe,
sevinst.exe,
ccapp.exe,
windres.exe,
res2coff.exe,
objcopy.exe,
gcc.exe,
gcc.exe,
dllwrap.exe,
ccc.exe,
hypertrm.exe,
uedit32.exe,
regwiz.exe,
wabmig.exe,
navw32.exe,
conf.exe,
actcontroller.exe,
umdh.exe,
kdbgctrl.exe,
i386kd.exe,
cdb.exe,
breakin.exe,
7z.exe,
alunotify.exe,
lsetup.exe,
ndetect.exe,
symantecroot.exe,
luinit.exe,
idaw64.exe,
idag.exe,
ia64kd.exe,
pdbcopy.exe,
symstore.exe,
symchk.exe,
hhupd.exe,
hhw.exe,
flash.exe,
codeblocks.exe
Созданный файл детектируется Антивирусом Касперского как Email-Worm.Win32.Mydoom.bj.
Также троянец прописывает распакованный файл в ключ автозагрузки, добавляя его имя в конец ключа реестра:
[HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon]
"Userinit"
Затем файл запускается на исполнение.
Также троянец запускает на исполнение файл из своей рабочей папки — «%WorkDir%/TestPolymorph.exe» (в случае его наличия) и завершает свою работу.
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для ее удаления необходимо выполнить следующие действия:
- Удалить оригинальный файл трояна (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
- Удалить следующие файлы (в случае их наличия на зараженном компьютере):
%System%/nptotect.exe
%System%/alg.exe
%System%/peverify.exe
%System%/makehm.exe
%System%/dw.exe
%System%/mc.exe
%System%/undname.exe
%System%/mdm.exe
%System%/ranlib.exe
%System%/vmwareeufad.exe
%System%/vnetlib.exe
%System%/vnetstats.exe
%System%/deviceemulator.exe
%System%/sevinst.exe
%System%/ccapp.exe
%System%/windres.exe
%System%/res2coff.exe
%System%/objcopy.exe
%System%/gcc.exe
%System%/gcc.exe
%System%/dllwrap.exe
%System%/ccc.exe
%System%/hypertrm.exe
%System%/uedit32.exe
%System%/regwiz.exe
%System%/wabmig.exe
%System%/navw32.exe
%System%/conf.exe
%System%/actcontroller.exe
%System%/umdh.exe
%System%/kdbgctrl.exe
%System%/i386kd.exe
%System%/cdb.exe
%System%/breakin.exe
%System%/7z.exe
%System%/alunotify.exe
%System%/lsetup.exe
%System%/ndetect.exe
%System%/symantecroot.exe
%System%/luinit.exe
%System%/idaw64.exe
%System%/idag.exe
%System%/ia64kd.exe
%System%/pdbcopy.exe
%System%/symstore.exe
%System%/symchk.exe
%System%/hhupd.exe
%System%/hhw.exe
%System%/flash.exe
%System%/codeblocks.exe
- Восстановить значение ключа системного реестра:
[HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon]
"Userinit" = "%System%/userinit.exe,"
- Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).
Источник: viruslist.com.
|
