Троянская
программа, устанавливающая другие программы на компьютере пользователя
без его ведома. Является приложением Windows (PE-EXE файл). Имеет
размер 25368 байт. Упакована UPX. Распакованный размер – около 45 КБ.
Написана на C++.
Инсталляция
После запуска троянец перемещает свое тело в следующий файл:
%WinDir%\GJ.exe
Файл создается с атрибутами "скрытый" (hidden), "системный" (system).
Для автоматического запуска своего оригинального файла при каждом
следующем старте системы троянец создает ключ системного реестра:
После запуска троянец выполняет следующие действия:
выгружает из системной памяти процесс "RavMonD.exe".
Извлекает из своего тела файл, который сохраняется в системе под следующим именем:
%System%\mpgjtx.dll
(11032 байта; детектируется Антивирусом Касперского как "Trojan-Downloader.Win32.Small.kal")
Файл создается с атрибутом "скрытый" (hidden).
Внедряет исполняемый код извлеченной библиотеки в адресное пространство процесса "Explorer.exe".
После этого троянец завершает свою работу.
Рекомендации по удалению
Если
ваш компьютер не был защищен антивирусом и оказался заражен данной
вредоносной программой, то для её удаления необходимо выполнить
следующие действия:
Перезагрузить компьютер в «безопасном режиме» (в самом начале
загрузки нажать и удерживать клавишу «F8», затем выбрать пункт «Safe
Mode» в меню загрузки Windows).
