Trojan-Downloader.Win32.Small.ckn

Технические детали

Троянская программа, загружающая из интернета файлы без ведома пользователя.

Является приложением Windows (PE EXE-файл). Упакована FSG. Размер файла — 3072 байта. Размер в распакованном виде — около 28 КБ.

Деструктивная активность

После запуска троянская программа проверяет существование следующего файла %System%\qvxgamet1.exe. В случае если его нет, программа удаляет файл %Temp%\qvxt1.game (если такой существует) и загружает в него данные с URL http://**ko.biz/dl.php.

После чего троянец удаляет следующие файлы (если такие существуют):

%Temp%\qvxt2.game
%Temp%\qvxt3.game
%Temp%\qvxt4.game

И затем загружает на их место данные соответственно со следующих URL:

http://**ko.biz/soft/1.exe/
http://**ko.biz/soft/2.exe/
http://**ko.biz/soft/3.exe/

В случае успешной загрузки троянец копирует загруженные файлы в системный каталог Windows со следующими именами:

%System%\qvxgamet2.exe
%System%\qvxgamet3.exe
%System%\qvxgamet4.exe

Если данные файлы уже существовали, то они перезаписываются.

В случае неудачной загрузки какого-нибудь из файлов, предпринимается повторная попытка через 5 минут.

После успешной загрузки всех файлов они запускаются на исполнение. А выполнение оригинальной троянской программы завершается.

На момент создания описания указанные ссылки не работали.

Рекомендации по удалению

1. Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
2. Удалить загруженные троянцем файлы:

   %System%\qvxgamet2.exe
   %System%\qvxgamet3.exe
   %System%\qvxgamet4.exe
   %Temp%\qvxt1.game
   %Temp%\qvxt2.game
   %Temp%\qvxt3.game
   %Temp%\qvxt4.game

3. Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).