Backdoor.Win32.Agent.amrk

Технические детали

Троянская программа, устанавливающая другие программы на компьютере пользователя без его ведома. Является приложением Windows (PE-EXE файл). Имеет размер 40960 байт. Написана на C++.

Деструктивная активность

После запуска троянец получает идентификатор набора национальных параметров LCID, и проверяет первичный идентификатор национального языка. Если он соответствует значениям:

Uzbek
Ukrainian
Azeri
Kyrgyz
Tatar
Belarusian
Kazakh
Bashkir
Divehi
Armenian
Yakut
Russian

В противном случае, троянец выполняет следующие действия:

• извлекает из своего тела файлы, которые сохраняются в системе под следующими именами:

  %System%\mscert.dll

  (36352 байта; детектируется Антивирусом Касперского как "Backdoor.Win32.Agent.amrn")

  %System%\rdolib.dll

  (30720 байт; детектируется Антивирусом Касперского как "Backdoor.Win32.Agent.amqy")
• Создает ключи системного реестра:
  [HKLM\System\CurrentControlSet\Control\
  Session Manager\AppCertDlls]
  "AppSecDll" = "%System%\mscert.dll"
  
  [HKLM\Software\Microsoft\Windows NT\
  CurrentVersion\Windows]
  "AppInit_DLLs" = "%System%\rdolib.dll"
  "LoadAppInit_DLLs" = "1"
  Таким образом, извлеченные троянцем библиотеки будут внедряться в адресные пространства всех процессов, запускаемых в системе.

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо воспользоваться Антивирусом Касперского: произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).