Троянская
программа, загружающая файлы из сети Интернет без ведома пользователя и
запускающая их. Является приложением Windows (PE-EXE файл). Имеет
размер 16896 байт. Упакована неизвестным упаковщиком. Распакованный
размер – около 47 КБ. Написана на C++.
Деструктивная активность
После запуска троянец выполняет следующие действия:
для идентификации своего присутствия в системе создает ключи системного реестра:
Загружает из сети Интернет файлы по следующим ссылкам:
http://qu***ebgo.cn/setup/ad_64.exe
(На момент создания
описания загружался файл размером 671744 байта; детектируется
Антивирусом Касперского как "Trojan.Win32.Tdss.avsj")
http://bor***p.cn/setup/ad_64.exe
(На момент создания описания ссылка не работала)
http://qui***bgo.cn/setup/setup.exe
(На момент создания
описания загружался файл размером 716800 байт; детектируется
Антивирусом Касперского как "Trojan.Win32.Tdss.avdp")
http://bo****top.cn/setup/setup.exe
(На момент создания описания ссылка не работала)
Загруженные файлы сохраняются во временном каталоге пользователя как
%Temp%\H8SRT<rnd>.tmp
где <rnd> – случайная последовательность цифр и латинских букв.
После успешной загрузки файлы запускаются на выполнение.
Перемещает свой оригинальный файл во временный каталог пользователя, сохраняя его под следующим именем:
%Temp%\H8SRT<rnd>.tmp
После этого троянец завершает свою работу.
Рекомендации по удалению
Если
ваш компьютер не был защищен антивирусом и оказался заражен данной
вредоносной программой, то для её удаления необходимо выполнить
следующие действия:
