Trojan.Win32.Vilsel.ors
Технические детали
Троянская
программа, выполняющая деструктивные действия на компьютере
пользователя. Программа является приложением Windows (PE EXE-файл).
Имеет размер 21804 байта. Упакована при помощи UPX. Распакованный
размер – около 46 КБ. Написана на C++.
Деструктивная активность
После запуска троянец завершает процессы со следующими именами:
Launch.exe
Game.exe
Затем устанавливает временный каталог текущего пользователя Windows в
переменной среде "Path", добавив к значению параметра ключа системного
реестра соответствующий путь:
[HKLM\SYSTEM\CurrentControlSet\Control\Session
Manager\Environment]
"Path" = "%Temp%\;" Далее
троянец извлекает из своего тела библиотеку во временный каталог
текущего пользователя Windows с именем "VGA<rnd>.tmp" (где
<rnd> - случайные числа или буквы латинского алфавита):
%Temp%\VGA<rnd>.tmp
Данный файл имеет размер 15148 байт и детектируется антивирусом Касперского как Trojan-PSW.Win32.Kykymber.anw.
Извлеченный файл копирует в системный каталог Windows с тем же именем, но расширением ".dat":
%System%\VGA<rnd>.dat
Данному файлу троянец устанавливает атрибуты "скрытый", "системный" и "архивный".
После этого модифицирует библиотеку DirectX, используемую некоторыми играми, при этом размер файла библиотеки остается прежним:
%System%\d3d9.dll Таким образом при запуске игр,
использующих данную библиотеку, на исполнение будет запускаться ранее
извлеченная вредоносная библиотека с именем "VGA<rnd>.dat".
Для отключения защиты системных файлов троянец использует недокументированную функцию библиотеки:
%System%\sfc_os.dll
После этого троянец удаляет файл:
%Temp%\VGA<rnd>.tmp
А далее создает и запускает на исполнение файл командного
интерпретатора, предназначенный для удаления оригинального тела
троянца, а также себя самого:
%Temp%\delself.bat
Рекомендации по удалению
Если
ваш компьютер не был защищен антивирусом и оказался заражен данной
вредоносной программой, то для её удаления необходимо выполнить
следующие действия:
- Восстановить значение параметра в ключе (системного реестра):
[HKLM\SYSTEM\CurrentControlSet\Control\Session
Manager\Environment]
"Path" =
- Удалить файл:
%System%\VGA<rnd>.dat
- Восстановить из дистрибутива оригинальные библиотеки:
%System%\d3d9.dll
%System%\dllcache\d3d9.dll
- Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).
| 
