Trojan-Downloader.Win32.Servill.pn

Меню сайта

Категории новостей

Новости от Касперского [158]

Новости [290]

Новости железа [224]

Закон о защите персональных данных [1]

Гороскопы

Мини-чат

Наш опрос

Статистика

Онлайн всего: 3

Гостей: 3

Пользователей: 0

Главная » » Trojan-Downloader.Win32.Servill.pn

08:38

Trojan-Downloader.Win32.Servill.pn

Технические детали

Троянская программа, устанавливающая другие программы на компьютере пользователя без его ведома. Является приложением Windows (PE-EXE файл). Имеет размер 28160 байт. Упакована UPX. Распакованный размер – около 49 КБ. Написана на C++.

Деструктивная активность

После запуска троянец выполняет следующие действия:

создает уникальный идентификатор с именем:
```
gjhazz
```
Извлекает из своего тела файлы, которые сохраняются в системе под следующими именами:
```
%Temp%\~<rnd1>.ex
```
(10752 байта; детектируется Антивирусом Касперского как "Rootkit.Win32.Agent.idd")
```
%Temp%\~<rnd1>.exe
```
(8704 байта; детектируется Антивирусом Касперского как "Trojan-Downloader.Win32.Murlo.cmz")
```
%System%\<rnd2>.exe
```
(8704 байта; детектируется Антивирусом Касперского как "Trojan-Downloader.Win32.Murlo.cmz")

где <rnd1> – случайное восьмизначное десятичное число, а <rnd2> – случайная последовательность цифр и латинских букв (например: "6bp4O").
Создает ключи системного реестра:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"msconfigs" = "%System%\<rnd2>.exe"

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"msconfigs" = "%System%\<rnd2>.exe"
Таким образом, извлеченный файл "%System%\<rnd2>.exe" будет автоматически запускаться при каждом следующем старте системы.
[HKLM\Software\Microsoft\Windows NT\CurrentVersion\
Image File Execution Options\egui.exe]
"Debugger" = "services.exe"
Это блокирует запуск процесса "egui.exe".
Выгружает из системной памяти процесс "360tray.exe".
Создает и запускает в системе службу с именем "<rnd1>", бинарным файлом которой является извлеченный ранее файл "%Temp%\~<rnd1>.ex".
Запускает на выполнение извлеченный ранее файл "%Temp%\~<rnd1>.exe". После этого троянец завершает свою работу.

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
1. Удалить ветви системного реестра (как работать с реестром?):
```
[HKLM\System\ControlSet001\Services\<rnd1>]
[HKLM\System\CurrentControlSet\Services\<rnd1>]
```
2. Удалить ключи системного реестра (как работать с реестром?):
```
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"msconfigs" = "%System%\<rnd12>.exe"



[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"msconfigs" = "%System%\<rnd12>.exe"



[HKLM\Software\Microsoft\Windows NT\CurrentVersion\
Image File Execution Options\egui.exe]
"Debugger" = "services.exe"
```
3. Перезагрузить компьютер.
4. Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
5. Удалить файлы:
```
%Temp%\~<rnd1>.ex 
%Temp%\~<rnd1>.exe 
%System%\<rnd12>.exe
```
6. Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).