| Меню сайта |
|
 |
| Категории новостей |
|
|
| Гороскопы |
|
|
| Мини-чат |
|
|
|
| Наш опрос |
|
|
| Статистика |
Онлайн всего: 1 Гостей: 1 Пользователей: 0 |
|
|
 |  |  |
| Главная » 2010 » Март » 1 » Trojan-Downloader.Win32.Servill.pn
08:38 Trojan-Downloader.Win32.Servill.pn |
Trojan-Downloader.Win32.Servill.pn
Технические детали
Троянская
программа, устанавливающая другие программы на компьютере пользователя
без его ведома. Является приложением Windows (PE-EXE файл). Имеет
размер 28160 байт. Упакована UPX. Распакованный размер – около 49 КБ.
Написана на C++.
Деструктивная активность
После запуска троянец выполняет следующие действия:
- создает уникальный идентификатор с именем:
gjhazz
- Извлекает из своего тела файлы, которые сохраняются в системе под следующими именами:
%Temp%\~<rnd1>.ex (10752 байта; детектируется Антивирусом Касперского как "Rootkit.Win32.Agent.idd")
%Temp%\~<rnd1>.exe (8704 байта; детектируется Антивирусом Касперского как "Trojan-Downloader.Win32.Murlo.cmz")
%System%\<rnd2>.exe (8704 байта; детектируется Антивирусом Касперского как "Trojan-Downloader.Win32.Murlo.cmz")
где <rnd1> – случайное восьмизначное десятичное число, а
<rnd2> – случайная последовательность цифр и латинских букв
(например: "6bp4O").
- Создает ключи системного реестра:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"msconfigs" = "%System%\<rnd2>.exe"
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"msconfigs" = "%System%\<rnd2>.exe"
Таким образом, извлеченный файл "%System%\<rnd2>.exe" будет автоматически запускаться при каждом следующем старте системы.
[HKLM\Software\Microsoft\Windows NT\CurrentVersion\
Image File Execution Options\egui.exe]
"Debugger" = "services.exe"
Это блокирует запуск процесса "egui.exe".
- Выгружает из системной памяти процесс "360tray.exe".
- Создает и запускает в системе службу с именем "<rnd1>",
бинарным файлом которой является извлеченный ранее файл
"%Temp%\~<rnd1>.ex".
- Запускает на выполнение извлеченный ранее файл "%Temp%\~<rnd1>.exe".
После этого троянец завершает свою работу.
Рекомендации по удалению
Если
ваш компьютер не был защищен антивирусом и оказался заражен данной
вредоносной программой, то для её удаления необходимо выполнить
следующие действия:
- Удалить ветви системного реестра (как работать с реестром?):
[HKLM\System\ControlSet001\Services\<rnd1>]
[HKLM\System\CurrentControlSet\Services\<rnd1>]
- Удалить ключи системного реестра (как работать с реестром?):
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"msconfigs" = "%System%\<rnd12>.exe"
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"msconfigs" = "%System%\<rnd12>.exe"
[HKLM\Software\Microsoft\Windows NT\CurrentVersion\
Image File Execution Options\egui.exe]
"Debugger" = "services.exe"
- Перезагрузить компьютер.
- Удалить оригинальный файл троянца (его расположение на
зараженном компьютере зависит от способа, которым программа попала на
компьютер).
- Удалить файлы:
%Temp%\~<rnd1>.ex
%Temp%\~<rnd1>.exe
%System%\<rnd12>.exe
- Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).
|
|
Категория: Новости от Касперского |
Просмотров: 583 |
Добавил: Admin
| Рейтинг: 0.0/0 |
Добавлять комментарии могут только зарегистрированные пользователи. [ Регистрация | Вход ] | |
 |  |  |
|
| Поиск |
|
|
| Форма входа |
|
|
| Календарь |
| « Март 2010 » |
| Пн |
Вт |
Ср |
Чт |
Пт |
Сб |
Вс |
| 1 | 2 | 3 | 4 | 5 | 6 | 7 | | 8 | 9 | 10 | 11 | 12 | 13 | 14 | | 15 | 16 | 17 | 18 | 19 | 20 | 21 | | 22 | 23 | 24 | 25 | 26 | 27 | 28 | | 29 | 30 | 31 | |
|
| Архив записей |
|
|
 
|
