Trojan-Dropper.Win32.Flystud.yo

Технические детали
Деструктивная активность
Рекомендации по удалению

Технические детали

Троянская программа, устанавливающая другие программы на компьютере пользователя без его ведома. Является приложением Windows (PE-EXE файл). Имеет размер 1407033 или 1405322 байта (в зависимости от модификации). Написана на C++.

Инсталляция

После запуска троянец выполняет следующие действия:

• выводит сообщение:
  
  

  

• Создает следующие каталоги:

  %Temp%\E_N4
  %System%\372109
  %System%\499E86
  %System%\2B4FA4
  %System%\A9C3FF
  

  Все каталоги кроме "%Temp%\E_N4" создаются с атрибутом "скрытый" (hidden).
• Извлекает из своего тела файлы, которые сохраняются во временном каталоге пользователя под следующими именами:

  %Temp%\E_N4\krnln.fnr (1101824 байта)
  %Temp%\E_N4\HtmlView.fne (217088 байт)
  %Temp%\E_N4\internet.fne (184320 байт)
  %Temp%\E_N4\eAPI.fne (323584 байта)
  %Temp%\E_N4\dp1.fne (114688 байт)
  %Temp%\E_N4\shell.fne (40960 байт)
  %Temp%\E_N4\spec.fne (73728 байт)
  %Temp%\E_N4\cnvpe.fne (61440 байт)
  

• Копирует свое тело в файл

  %System%\372109\C00285.exe

• Запускает созданную копию.

После этого троянец завершает свою работу.

Распространение

Троянец копирует свое тело на все доступные для записи съемные диски. При этом для всех каталогов, найденных в корне съемного диска, устанавливается атрибут "скрытый" (hidden). На диске создается столько копий троянца, сколько найдено каталогов его корне. Имена копий соответствуют именам каталогов.

Деструктивная активность

После запуска троянец выполняет следующие действия:

• извлекает из своего тела файлы, которые сохраняются в системе под следующими именами:

  %System%\499E86\krnln.fnr (1101824 байта)
  %System%\499E86\HtmlView.fne (217088 байт)
  %System%\499E86\internet.fne (184320 байт)
  %System%\499E86\eAPI.fne (323584 байта)
  %System%\499E86\dp1.fne (114688 байт)
  %System%\499E86\shell.fne (40960 байт)
  %System%\499E86\spec.fne (73728 байт)
  %System%\499E86\cnvpe.fne (61440 байт)
  %System%\499E86\RegEx.fnr (217088 байт)
  

• Для автоматического запуска троянца при каждом следующем входе пользователя в систему создается следующий ярлык:

  %USERPROFILE%\Главное меню\Программы\Автозагрузка\C00285.lnk

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

1. При помощи Диспетчера задач завершить процесс "C00285.EXE".
2. Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
3. Удалить файлы:

   %System%\372109\C00285.EXE
   %Temp%\E_N4\spec.fne 
   %Temp%\E_N4\shell.fne 
   %Temp%\E_N4\krnln.fnr 
   %Temp%\E_N4\internet.fne 
   %Temp%\E_N4\HtmlView.fne 
   %Temp%\E_N4\eAPI.fne 
   %Temp%\E_N4\dp1.fne 
   %Temp%\E_N4\cnvpe.fne 
   %System%\499E86\spec.fne 
   %System%\499E86\shell.fne 
   %System%\499E86\RegEx.fnr 
   %System%\499E86\krnln.fnr 
   %System%\499E86\internet.fne 
   %System%\499E86\HtmlView.fne 
   %System%\499E86\eAPI.fne 
   %System%\499E86\dp1.fne 
   %System%\499E86\cnvpe.fne 
    %USERPROFILE%\Start Menu\Programs\Startup\C00285.lnk
   <имя зараженного съемного диска>:\Recycle.exe
   <имя зараженного съемного диска>:\autorun.inf
   

4. Удалить каталоги:

   %System%\372109
   %Temp%\E_N4
   %System%\499E86
   %System%\2B4FA4
   %System%\A9C3FF
   

5. Удалить копии, созданные троянцем на зараженных съемных дисках.
6. Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).