Backdoor.Win32.Small.gzp

Технические детали

Троянская программа, устанавливающая другие программы на компьютере пользователя без его ведома. Является приложением Windows (PE-EXE файл). Имеет размер 12133 байта. Упакована UPack. Распакованный размер – около 102 КБ. Написана на C++.

Деструктивная активность

После запуска троянец извлекает из своего тела файл, который сохраняется в системе под следующим именем:

Далее троянец запускает системную утилиту "rundll32.exe" со следующими параметрами:

Извлеченная троянцем библиотека "%Temp%\~<rnd>.~~~" реализует следующий функционал:

• файл библиотеки копируется в файлы:

  %System%\csrss.dll
  %System%\rpcss.dll

• Удаляются файлы:
  %System%\ServicePackFiles\i386\rpcss.dll %System%\dllcache\rpcss.dll
• Из тела библиотеки извлекаются файлы, сохраняемые в системе под следующими именами:

  %System%\sh14034.ini

  (2880 байт)

  %System%\sh14034.dll

  (20992 байта; детектируется Антивирусом Касперского как "Trojan-GameThief.Win32.OnLineGames.bksf")
• исполняемый код библиотеки "%System%\sh14034.dll" внедряется в адресное пространство процесса "explorer.exe".
• Функция "test" вызывается со строковым параметром, содержащим полный путь к оригинальному файлу троянца. Данный файл будет удален.

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

1. Перезагрузить компьютер в «безопасном режиме» (в самом начале загрузки нажать и удерживать клавишу «F8», затем выбрать пункт «Safe Mode» в меню загрузки Windows).
2. Удалить файлы:

   %Temp%\~.~~~ 
   %System%\sh14034.ini 
   %System%\sh14034.dll

3. Восстановить оригинальное содержимое файлов:

   %System%\csrss.dll
   %System%\rpcss.dll

4. Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).