Trojan-Dropper.Win32.Agent.ayft

Технические детали

Троянская программа, устанавливающая другие программы на компьютере пользователя без его ведома. Является приложением Windows (PE-EXE файл). Имеет размер 25368 байт. Упакована UPX. Распакованный размер – около 45 КБ. Написана на C++.

Инсталляция

%WinDir%\GJ.exe

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"mirotGJ" = "%WinDir%\GJ.exe"

Деструктивная активность

После запуска троянец выполняет следующие действия:

• выгружает из системной памяти процесс "RavMonD.exe".
• Извлекает из своего тела файл, который сохраняется в системе под следующим именем:

  %System%\mpgjtx.dll

  (11032 байта; детектируется Антивирусом Касперского как "Trojan-Downloader.Win32.Small.kal")
  Файл создается с атрибутом "скрытый" (hidden).
• Внедряет исполняемый код извлеченной библиотеки в адресное пространство процесса "Explorer.exe". После этого троянец завершает свою работу.
  

  Рекомендации по удалению

  Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

  1. Перезагрузить компьютер в «безопасном режиме» (в самом начале загрузки нажать и удерживать клавишу «F8», затем выбрать пункт «Safe Mode» в меню загрузки Windows).
  2. Удалить ключ системного реестра (как работать с реестром?):

     [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
     "mirotGJ" = "%WinDir%\GJ.exe"

  3. Удалить файлы:

     %WinDir%\GJ.exe
     %System%\mpgjtx.dll

  4. Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).