Trojan-Downloader.Win32.Small.alwp

Технические детали

Троянская программа, которая без ведома пользователя загружает из сети Интернет другие вредоносные программы и запускает их на выполнение. Программа является приложением Windows (PE EXE-файл). Имеет размер 20480 байт. Написана на С++.

Деструктивная активность

После активации троянец производит загрузку файла с одного из следующих URL:

http://www.***vc.net.cn/news/image.jpg
http://www.***vc.net.cn/files/image.jpg
http://www.***vc.net.cn/sports/image.jpg 
http://www.***vc.net.cn/nba/image.jpg

Данный файл имеет размер 52736 байт и детектируется Антивирусом Касперского, как Trojan.Win32.Zybr.jp.

Загруженный файл сохраняется в системный каталог Windows под случайно сгенерированным именем:

%System%\<rnd>.exe

где <rnd> — случайная последовательность букв латинского алфавита.

После успешного сохранения файл запускается на выполнение.

По завершению своей работы троянец создает в системном каталоге Windows файл командного интерпретатора:

%System%\<rnd>.bat

где <rnd> — случайная последовательность букв латинского алфавита.

В данный файл троянец записывает код для отправки трех ICMP пакетов на локальный узел, удаления оригинального тела троянца и самого файла командного интерпретатора.

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

1. При помощи ( "Диспетчера задач") завершить троянский процесс.
2. Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
3. Удалить файлы:

   %System%\<rnd>.exe
   %System%\<rnd>.bat

4. Очистить каталог %Temporary Internet Files% ):

   %Temporary Internet Files%

5. Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).