Trojan-Downloader.Win32.Tiny.ia - 27 Января 2010 - Вирусам и мошенничеству нет!

Меню сайта

Категории новостей

Новости от Касперского [158]

Новости [290]

Новости железа [224]

Закон о защите персональных данных [1]

Гороскопы

Мини-чат

Наш опрос

Статистика

Онлайн всего: 3

Гостей: 3

Пользователей: 0

Главная » » Trojan-Downloader.Win32.Tiny.ia

10:59

Trojan-Downloader.Win32.Tiny.ia

Технические детали

Троянская программа, открывающая Интернет страницы в браузере без ведома пользователя. Является приложением Windows (PE-EXE файл). Имеет размер 3213 байт. Упакована FSG. Распакованный размер – около 29 КБ. Написана на C++.

Инсталляция

После запуска троянец копирует свое тело в следующий файл:

%System%\msscmc36.exe

После этого троянец завершает свою работу.

Деструктивная активность

После запуска троянец выполняет следующие действия:

создает ключи системного реестра:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run] "Microsoft Visual Control" = "%System%\msscmc36.exe"
Это приводит к автоматическому запуску копии троянца при каждом следующем старте системы.
[HKLM\System\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\
StandardProfile\GloballyOpenPorts\List] "23203:TCP" = "23203:TCP:*:Enabled:BND"
Таким образом, порт 23203 записывается в список исключений брандмауэра Windows.
Запускает процесс
```
%Program Files%\Internet Explorer\iexplore.exe
```
и внедряет в его адресное пространство код, выполняющий в бесконечном цикле обращение по следующей ссылке:
http://www.google.com?action=log&loc=&user=<Имя пользователя>&cn=<Системная локаль>&port=23203

После этого троянец завершает свою работу.

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

При помощи Диспетчера задач завершить процесс "iexplore.exe".
Удалить ключи системного реестра (как работать с реестром?):
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run] "Microsoft Visual Control" = "%System%\msscmc36.exe"

[HKLM\System\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\
StandardProfile\GloballyOpenPorts\List] "23203:TCP" = "23203:TCP:*:Enabled:BND"
Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
Удалить файл:
```
%System%\msscmc36.exe
```
Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).

Источник