Trojan-Dropper.Win32.Agent.cwzh

Технические детали
Деструктивная активность
Рекомендации по удалению

Технические детали

Троянская программа, устанавливающая другие программы на компьютере пользователя без его ведома. Является приложением Windows (PE-EXE файл). Имеет размер 28160 байт. Написана на C++.

Деструктивная активность

После запуска троянец извлекает из своего тела файл, который сохраняется в каталоге хранения временных файлов текущего пользователя как

%Temp%\<rnd_1>.vbs

(4077 байт; детектируется Антивирусом Касперского как "Trojan-Downloader.VBS.FraudLoad.b")

где <rnd_1> – случайное восьмизначное шестнадцатеричное число (например: "4cf39873").

После этого троянец запускает на выполнение извлеченный файл и завершает свою работу. Для удаления своего оригинального файла после завершения его работы троянец запускает системный командный интерпретатор "CMD.EXE" с параметрами:

/c del <полный путь к оригинальному файлу троянца> > nul

Извлеченный троянцем файл является сценарием языка Visual Basic Script. После запуска данный сценарий загружает из сети Интернет файл по следующей ссылке:

http://be***osat.info/PCDefenderSilentSetup.msi 
(на момент создания описания ссылка не работала)

Загруженный файл сохраняется в системе как

%USERPROFILE%\My Documents\<rnd_2>\<rnd_2>.msi

где <rnd_2> – случайным образом сформированная последовательность из латинских букв (например: "LFPLGNSKJDWKVBIZIB").

Далее загруженный файл запускается на выполнение.

Загруженный файл будет удален при следующей загрузке системы. Для этого создается ключ системного реестра:

[HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"delpcdefmsi" = "cmd /c rmdir /s /q "%USERPROFILE%\My 
Documents\<rnd_2>\<rnd_2>.msi"

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

1. Удалить файлы:

   %Temp%\<rnd_1>.vbs 
   %USERPROFILE%\My Documents\<rnd_2>\<rnd_2>.msi
   

2. Удалить ключ системного реестра (как работать с реестром?):

   [HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce]
   "delpcdefmsi" = "cmd /c rmdir /s /q "%USERPROFILE%\My 
   Documents\<rnd_2>\<rnd_2>.msi"
   

3. Очистить каталог Temporary Internet Files, который может содержать инфицированные файлы (Как удалить инфицированные файлы в папке Temporary Internet Files?).
4. Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).

Резюме

• Trojan-Dropper. Скрытно устанавливает в систему другие вредоносные программы

Технические детали

Имеет размер 28160 байт.

Инсталляция

Создает следующие файлы на зараженном компьютере:

• Каталог текущего пользователя (обычно, C:\Documents and Settings\<Имя_текущего_пользователя>)%UserDir%\My Documents\OISOJQVMMGZNYELCLEG\ONKTSDOADBHJQBCGLJXF.msi

Вредоносная активность

Создает следующие файлы:

• Каталог для хранения временных файлов ОС Windows (обычно, C:\Documents and Settings\<Имя_текущего_пользователя>\Local Settings\Temp)%Temp%\4c1bb13e.vbs

Следующие файлы запускаются на исполнение:

• Каталог для хранения временных файлов ОС Windows (обычно, C:\Documents and Settings\<Имя_текущего_пользователя>\Local Settings\Temp)%Temp%\4c1bb13e.vbs

Прочие действия

Изменяет следующие ключи системного реестра:

[ Ветка системного реестра HKEY_CURRENT_USERHKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce ] "delpcdefmsi" = "cmd /c rmdir /s /q " Каталог текущего пользователя (обычно, C:\Documents and Settings\<Имя_текущего_пользователя>)%UserDir%\My Documents\OISOJQVMMGZNYELCLEG""

Описание:
­Используется для автозапуска файлов при загрузке ОС Windows­

Удаляет следующие файлы на зараженном компьютере:

• <­путь к исходной программе­><­файл исходной программы­>