Trojan-Downloader.Win32.VB.gd

Технические детали
Деструктивная активность
Рекомендации по удалению

Технические детали

Троянская программа, которая без ведома пользователя скачивает на компьютер другое программное обеспечение и запускает его на исполнение. Является приложением Windows (PE EXE-файл). Имеет размер 3664 байта. Написана на Visual Basic.

Деструктивная активность

После запуска троянец получает список запущенных в системе процессов и сравнивает его со своим списком:

assistse.exe
RavMon.exe
RavTimer.exe
Rfw.exe
Kavpfw.exe
KAVPlus.exe
MailMon.EXE
KPopMon.EXE
KWatchUI.EXE
KAVSvc.EXE
kvapfw.exe
kvfw.exe
KVMonXP.kxp
KVSrvXP.exe
KvXP.kxp
KVCenter.kxp
DefWatch.exe
Rtvscan.exe
ccApp.exe
ccSetMgr.exe
VPTray.exe
PasswordGuard.exe
EGhost.exe
Iparmor.exe
PFW.exe
TERegPct.exe
DFVSNET.EXE
NETBARGP.EXE
NMain.exe
navw32.EXE
KAVSvcUI.exe
KAV32.exe

Если в зараженной системе обнаруживаются указанные процессы, троянец прекращает работу и удаляет свое тело.

В противном случае троянская программа скачивает файлы по следующим ссылкам:

http://www.****see.com/hgz.gif
http://www.****see.com/nofz.gif

(На момент создания описания ссылки не работали.)

Данные файлы сохраняются в корневом каталоге Windows под именами «M66.exe» и «Q66.exe»:

%WinDir%\M66.exe
%WinDir%\Q66.exe

В случае успешного скачивания файлы запускается на исполнение.

На этом работа троянца завершается.

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для ее удаления необходимо выполнить следующие действия:

1. Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
2. Удалить скачанные файлы:

   %WinDir%\M66.exe
   %WinDir%\Q66.exe

3. Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).