Packed.Win32.Krap.ag

Технические детали

Троянская программа, загружающая файлы из сети Интернет без ведома пользователя и запускающая их. Является приложением Windows (PE-EXE файл). Имеет размер 99328 байт. Написана на C++.

Деструктивная активность

После запуска троянец выполняет следующие действия:

• получает версию операционной системы, а также язык, используемый в системе по умолчанию.
• Отправляет полученные данные в виде следующих HTTP-запросов:

  http://leo-******alls.com/oermb.php?data=<полученные данные
   о системе в зашифрованном виде>
  http://ho*******area.com/oermb.php?data=<полученные данные
   о системе в зашифрованном виде>

• Получает с одного из серверов:

  http://leo-******alls.com
  http://ho*******area.com

  список ссылок для загрузки на компьютер пользователя других вредоносных программ. На момент создания описания троянцем были получены следующие ссылки:
  http://m*******llery.net/logos/f710e7871ae9c6db4470fecb445b38
  2d9e522a4c76073e6846e8f162b6b46fa2cc443be93cfebc707/b430b00070e/logo.gif
  http://gr*******enter.com/logos/a7c017f73a1936ab54109ecbc45b287d2e62a
  a1ca6a7de18168851d296c4cf328cd42bc9fc5e6c407/0410306030b/logo.gif
  http://ar*******web.com/werber/84a06090400/217.gif http://gr*******oject.com/werber/745010f0a0f/217.gif
• Загружает из сети Интернет файлы по полученным ссылкам. Загруженные файлы сохраняются во временном каталоге пользователя "%Temp%". На момент создания описания загружались следующие файлы:

  %Temp%\a.exe

  (417280 байт; детектируется Антивирусом Касперского как "Trojan.Win32.FraudPack.acmw")

  %Temp%\b.exe

  (227328 байт; детектируется Антивирусом Касперского как "Trojan.Win32.FraudPack.acmx")

  %Temp%\c.exe

  (227328 байт; детектируется Антивирусом Касперского как "Trojan.Win32.FraudPack.acmx")
• Запускает на выполнение загруженные файлы.

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

1. Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
2. Удалить файлы:

   %Temp%\a.exe 
   %Temp%\b.exe
   %Temp%\c.exe

3. Очистить каталог (Как удалить инфицированные файлы в папке Temporary Internet Files?):

   %Temporary Internet Files%

4. Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).