Троянская программа. Является приложением Windows (PE EXE-файл). Имеет размер 417792 байта. Упакована при помощи UPX. Распакованный размер – около 439 КБ. Написана на С++. Инсталляция
После активации троянец копирует свое тело в каталог автозагрузки текущего пользователя Windows:
%Documents and Settings%\<user_name>\Main Menu\Programs\Startup\uninstall.exe
Деструктивная активность
После перезагрузки зараженного компьютера троянец извлекает из своего тела файл с именем из следующего списка:
%Documents and Settings%\<user_name>\Application Data\svchosts.exe
%Documents and Settings%\<user_name>\Application Data\taskmon.exe
%Documents and Settings%\<user_name>\Application Data\rundll.exe
%Documents and Settings%\<user_name>\Application Data\service.exe
%Documents and Settings%\<user_name>\Application Data\sound.exe
%Documents and Settings%\<user_name>\Application Data\upnpsvc.exe
%Documents and Settings%\<user_name>\Application Data\lsas.exe
%Documents and Settings%\<user_name>\Application Data\logon.exe
%Documents and Settings%\<user_name>\Application Data\helper.exe
%Documents and Settings%\<user_name>\Application Data\event.exe
%Documents and Settings%\<user_name>\Application Data\dumpreport.exe
%Documents and Settings%\<user_name>\Application Data\msiexeca.exe
Данный файл имеет размер 404992 байта и детектируется Антивирусом (Касперского), как Trojan-Downloader.Win32.Agent.aoth.
Для автоматического запуска при каждом следующем старте системы троянец создает ссылку на извлеченный файл в ключе автозапуска системного реестра:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"<rnd1>" = "<rnd2>"
где<rnd1> - имя, выбранное из списка:
CrashDump
EventLog
Init
lsass
Regscan
RunDll
Setup
Sound
svchosts
System
TaskMon
UPNP
Windows
<rnd2> - путь к извлеченному файлу из списка указанного выше.
По завершению работы троянец удаляет свое оригинальное тело и копию "%Documents and Settings%\<user_name>\Main Menu\Programs\Startup\uninstall.exe".
*Данная троянская программа не работает на операционной системе Windows с русской локализацией.
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
1. При помощи ("Диспетчера задач") завершить троянский процесс.
2. Удалить ключ (системного реестра):
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"<rnd1>" = "<rnd2>"
3. Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
4. Удалить файлы:
%Documents and Settings%\<user_name>\Application Data\svchosts.exe
%Documents and Settings%\<user_name>\Application Data\taskmon.exe
%Documents and Settings%\<user_name>\Application Data\rundll.exe
%Documents and Settings%\<user_name>\Application Data\service.exe
%Documents and Settings%\<user_name>\Application Data\sound.exe
%Documents and Settings%\<user_name>\Application Data\upnpsvc.exe
%Documents and Settings%\<user_name>\Application Data\lsas.exe
%Documents and Settings%\<user_name>\Application Data\logon.exe
%Documents and Settings%\<user_name>\Application Data\helper.exe
%Documents and Settings%\<user_name>\Application Data\event.exe
%Documents and Settings%\<user_name>\Application Data\dumpreport.exe
%Documents and Settings%\<user_name>\Application Data\msiexeca.exe
5. Очистить каталог %Temporary Internet Files%.
6. Произвести полную проверку компьютера Антивирусом
371002024
