Trojan-Downloader.Win32.FraudLoad.gyk

Технические детали
Деструктивная активность
Рекомендации по удалению

Технические детали

Троянская программа, загружающая файлы из сети Интернет без ведома пользователя и запускающая их. Является приложением Windows (PE-EXE файл). Имеет размер 37888 байт. Упакована MEW. Распакованный размер – около 75 КБ. Написана на C++.

Деструктивная активность

После запуска троянец внедряет в адресное пространство процессов:

explorer.exe
iexplore.exe
firefox.exe

исполняемый код, реализующий подключение к серверу:

dlbiz.in

Далее на указанный сервер отправляется следующая информация:

• данные об установленных в системе сетевых адаптерах;
• серийный номер диска C:
• значение системной локали.

Далее производится загрузка файла по следующей ссылке:

http://dl***iz.in/setupmodule710.exe

Загруженный файл сохраняется в каталоге хранения временных файлов текущего пользователя "%Temp%" под случайным именем. После успешной загрузки файл запускается на выполнение.

На момент создания описания файл не загружался.

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

1. При помощи Диспетчера задач завершить, а затем заново запустить процесс "EXPLORER.EXE".
2. При помощи Диспетчера задач завершить процессы:

   iexplore.exe
   firefox.exe
   

3. Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
4. Удалить загруженный троянцем файл в каталоге "%Temp%".
5. Очистить каталог Temporary Internet Files, который может содержать инфицированные файлы (Как удалить инфицированные файлы в папке Temporary Internet Files?).
6. Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).