Trojan-Downloader.Win32.Agent.eed
Технические детали
Троянская
программа, которая без ведома пользователя скачивает на компьютер
другое программное обеспечение и запускает его на исполнение. Программа
является приложением Windows (PE EXE-файл). Имеет размер 38400 байт.
Написана на C++.
Инсталляция
После запуска троянец копирует свое тело в системный каталог Windows под именем "Ir32_a.exe":
%System%\Ir32_a.exe
После этого удаляет свой оригинальный файл.
Для автоматического запуска при каждом следующем старте системы троянец
добавляет ссылку на свой исполняемый файл в ключ автозапуска системного
реестра:
[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] "Userinit" = C:\WINDOWS\system32\userinit.exe,Ir32_a.exe
Деструктивная активность
Троянец выполняет отправляет запрос на сайт злоумышленника:
http://www.yu***66.com/images/yukor.gif http://www.yu***66.com/images/yukor.jpg http://www.yu***66.com/images/yukor.bmp В
ответ получает файл со ссылками, которые необходимо скачать. Данный
файл сохраняется в корневой каталог диска "C:" под именем "tmp.dat":
c:\tmp.dat На момент создания описания ссылки не работали.
Закачанные по списку файлы сохраняются во временном каталоге файлов
интернет под оригинальными именами и в случае успешной закачки
запускаются на выполнение.
Рекомендации по удалению
Если
ваш компьютер не был защищен антивирусом и оказался заражен данной
вредоносной программой, то для её удаления необходимо выполнить
следующие действия:
- Удалить оригинальный файл троянца (его расположение на зараженном
компьютере зависит от способа, которым программа попала на компьютер),
если троянец не удалит себя сам.
- Удалить копию троянца:
%System%\Ir32_a.exe
- Очистить каталог Temporary Internet Files, содержащий инфицированные файлы(Как удалить инфицированные файлы в папке Temporary Internet Files?):
%Temporary Internet Files%
- Изменить ключ системного реестра:
[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] "Userinit" = C:\WINDOWS\system32\userinit.exe,Ir32_a.exe
на
[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] "Userinit" = C:\WINDOWS\system32\userinit.exe
- Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).
|