Trojan.Win32.Inject.afli

Технические детали

Троянская программа, выполняющая деструктивные действия на компьютере пользователя. Программа является приложением Windows (PE EXE-файл). Имеет размер 20992 байта. Написана на C++.

Инсталляция

После активации троянец копирует свое тело в системный каталог Windows под именем "rivt.ydo":

%System%\calc.ifo

Для автоматического запуска при следующем старте системы троянец добавляет запись в ключ автозапуска системного реестра:

 [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"="Explorer.exe rundll32.exe calc.ifo before1main"

Деструктивная активность

После запуска троянец расшифровывает и извлекает из своего тела во временный каталог текущего пользователя файл:

%Temp%<rnd1>.tmp

Где <rnd1> - случайный набор цифр и букв латинского алфавита.

Данный файл имеет размер 23040 байт и детектируется Антивирусом Касперского как Trojan-Downloader.Win32.Small.alnn.

Затем троянец подгружает в свое адресное пространство извлеченный файл и производит запуск содержащегося в нем вредоносного кода, который выполняет следующие деструктивные действия:

• Если на компьютере пользователя был установлен пакет приложений "Microsoft Office", то троянец устанавливает низкий уровень безопасности, записав следующие значения в ключ системного реестра:

   [HKCU\Software\Microsoft\Office\11.0\Word\Security]
  "Level" = "1"
  "AccessVBOM" = "1"

  И выполняет макрос, с помощью которого запускает на выполнение оригинальное тело троянца.
• Для контроля уникальности своего процесса в системе троянец создает уникальный идентификатор с именем:

  94922394038940204

• Создает процесс с именем "svchost.exe" и внедряет в него вредоносный код:

  svchost.exe

• Троянец отправляет запрос по следующему адресу:

  http://4s***2.cn/ld0/use.php

  В ответ получает файл конфигурации для дальнейшей своей работы.
• Ссылки для загрузки других вредоносных файлов, полученные из файла конфигурации, троянец сохраняет в следующем ключе реестра:

   [HKCR\idid] 

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

1. Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
2. Удалить файлы:

   %Temp%\<rnd1>.tmp
   %System%\calc.ifo

   где <rnd1> - случайный набор цифр и букв латинского алфавита.

3. Очистить каталог Temporary Internet Files, который может содержать инфицированные файлы (Как удалить инфицированные файлы в папке Temporary Internet Files?):

   %Temporary Internet Files%

4. Удалить ключ системного реестра (как работать с реестром?):

    [HKCR\idid] 

5. При необходимости восстановить значения параметров "Level" и "AccessVBOM" в ключе системного реестра (как работать с реестром?):

    [HKCU\Software\Microsoft\Office\11.0\Word\Security]
   "Level"
   "AccessVBOM"

6. Восстановить значение параметра ключа системного реестра на следующее (как работать с реестром?):

    [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
   "Shell" = "Explorer.exe"

7. Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).