Технические детали
Троянская программа, которая без ведома пользователя загружает из сети Интернет другие вредоносные программы и запускает их на выполнение. Программа является приложением Windows (PE EXE-файл). Имеет размер 20480 байт. Написана на С++.
Деструктивная активность
После активации троянец извлекает из своего тела динамическую библиотеку DLL во временный каталог текущего пользователя Windows под случайно сгенерированным именем:
Данный файл имеет размер 19968 байт и детектируется Антивирусом Касперского, как Trojan.Win32.Oficla.m.
Для контроля уникальности своего процесса в системе троянец создает уникальный идентификатор с именем:
Загруженный файл сохраняется во временный каталог текущего пользователя Windows под случайного сгенерированным именем после чего запускается на выполнение.
Также файл %Temp%\< rnd >.tmp сохраняется в системный каталог Windows под случайным именем:
Для автоматического запуска при следующем старте системы троянец создает ссылку на созданный файл в ключе автозапуска системного реестра:
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
Троянская программа, которая без ведома пользователя загружает из сети Интернет другие вредоносные программы и запускает их на выполнение. Программа является приложением Windows (PE EXE-файл). Имеет размер 20480 байт. Написана на С++.
Деструктивная активность
После активации троянец извлекает из своего тела динамическую библиотеку DLL во временный каталог текущего пользователя Windows под случайно сгенерированным именем:
%Temp%\< rnd >.tmpГде < rnd > - случайная цифра.Данный файл имеет размер 19968 байт и детектируется Антивирусом Касперского, как Trojan.Win32.Oficla.m.
Для контроля уникальности своего процесса в системе троянец создает уникальный идентификатор с именем:
3079141585b787f8d1Троянец запускает процесс «svchost.exe» и подгружает в его адресное пространство извлеченную библиотеку. При помощи данной библиотеки троянец производит загрузку файла со следующего URL:На момент создания описания ссылка не работала.
Загруженный файл сохраняется во временный каталог текущего пользователя Windows под случайного сгенерированным именем после чего запускается на выполнение.
Также файл %Temp%\< rnd >.tmp сохраняется в системный каталог Windows под случайным именем:
%System%\< rnd >.< rnd >Где < rnd > - случайная последовательность букв латинского алфавита, например «rihd.pno».Для автоматического запуска при следующем старте системы троянец создает ссылку на созданный файл в ключе автозапуска системного реестра:
[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
«Shell» = «Explorer.exe rundll32.exe %System%\< rnd >.< rnd >»
«Shell» = «Explorer.exe rundll32.exe %System%\< rnd >.< rnd >»
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
- При помощи завершить троянский процесс.
- Изменить ключ :[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
«Shell» = «Explorer.exe» - Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
- Удалить файлы:
%Temp%\< rnd >.tmp %System%\< rnd >.< rnd > - Очистить каталог :
%Temporary Internet Files% - Произвести полную проверку компьютера Антивирусом с обновленными антивирусными базами.
Комментариев нет:
Отправить комментарий