Trojan-Dropper.Win32.Agent.csxg

Технические детали
Деструктивная активность
Рекомендации по удалению

Технические детали

Троянская программа, устанавливающая другие программы на компьютере пользователя без его ведома. Является приложением Windows (PE-EXE файл). Имеет размер 40960 байт. Упакована ASPack. Распакованный размер – около 242 КБ. Написана на C++.

Деструктивная активность

После запуска троянец выполняет следующие действия:

• извлекает из своего тела файл, который сохраняется в системе как

  %USERPROFILE%\Microsoft\smx4pnp.dll

  (4608 байт; детектируется Антивирусом Касперского как "Trojan-Downloader.Win32.Small.kph")
• Создает ключ системного реестра:

  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
  "smx4pnp" = "rundll32.exe "%USERPROFILE%\Microsoft\smx4pnp.dll", 
  Launch"
  

  Таким образом, при каждом следующем старте системы из извлеченной ранее библиотеки будет вызываться функция "Launch".
• Запускает системную утилиту "rundll32.exe" с параметрами:

  "%USERPROFILE%\Microsoft\smx4pnp.dll", Launch

• Запускает процесс:

  %System%\calc.exe

После этого троянец завершает работу, удаляя при этом свой оригинальный файл.

Извлекаемая библиотека реализует функционал загрузчика. С сервера:

mo***lo.in

запрашивается файл с именем "s.txt", содержащий ссылки для загрузки файлов. Далее в цикле по полученным ссылкам осуществляется загрузка файлов и запуск их на выполнение. Загруженные файлы сохраняются в каталоге

%Temporary Internet Files%

На момент создания описания файлы не загружались.

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

1. При помощи Диспетчера задач завершить процесс "rundll32.exe".
2. Удалить файл:

   %USERPROFILE%\Microsoft\smx4pnp.dll

3. Удалить ключ системного реестра (как работать с реестром?):

   [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   "smx4pnp" = "rundll32.exe "%USERPROFILE%\Microsoft\
   smx4pnp.dll", Launch"
   

4. Очистить каталог Temporary Internet Files, который может содержать инфицированные файлы (Как удалить инфицированные файлы в папке Temporary Internet Files?).
5. Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).

Резюме

• Trojan. Выполняет действия, характерные для вредоносных программ

Технические детали

Имеет размер 235520 байт.

Инсталляция

Создает следующие файлы на зараженном компьютере:

• Каталог текущего пользователя (обычно, C:\Documents and Settings\<Имя_текущего_пользователя>)%UserDir%\Microsoft\smax1f72c.tmp (­детектируется антивирусом Касперского как­ Trojan-Downloader.Win32.Small.kph)
• Каталог текущего пользователя (обычно, C:\Documents and Settings\<Имя_текущего_пользователя>)%UserDir%\Microsoft\smx4pnp.dll (­детектируется антивирусом Касперского как­ Trojan-Downloader.Win32.Small.kph)

Вредоносная активность

Внедряет свой код в следующие процессы:

• calc.exe

Пытается найти файлы на компьютере пользователя по следующим маскам:

• *.*

Прочие действия

Производит запуск следующих файлов (команд):

• Системный каталог ОС Windows (обычно, C:\Windows\System32)%System%\calc.exe

Изменяет следующие ключи системного реестра:

[ Ветка системного реестра HKEY_CURRENT_USERHKCU\Software\Microsoft\Windows\CurrentVersion\Run ] "smx4pnp" = "rundll32.exe " Каталог текущего пользователя (обычно, C:\Documents and Settings\<Имя_текущего_пользователя>)%UserDir%\Microsoft\smx4pnp.dll"

Описание:
­Используется для автозапуска файлов при загрузке ОС Windows­

Удаляет следующие файлы на зараженном компьютере:

• Каталог текущего пользователя (обычно, C:\Documents and Settings\<Имя_текущего_пользователя>)%UserDir%\Microsoft\smx4pnp.dll