Trojan-Downloader.Win32.Agent.elrc

Технические детали

Троянская программа, загружающая файлы из сети Интернет без ведома пользователя и запускающая их. Является приложением Windows (PE-EXE файл). Имеет размер 87040 байт. Написана на Delphi.

Деструктивная активность

После запуска троянец выполняет следующие действия:

• открывает в установленном по умолчанию браузере ссылку:

  http://www.i***s.gov/pub/irs-pdf/f941.pdf

  На момент создания описания по данной ссылке загружался PDF-документ размером 204558 байт.
• Изменяет значения ключей системного реестра:

  [HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
  "TaskbarNoNotification" = "1"
  
  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
  "EnableBalloonTips" = "0"
  
  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System]
  "EnableLUA" = "0"
  

  Это приводит к отключению всплывающих уведомлений в области уведомлений, всплывающих подсказок, а также контроля учетных записей пользователей (UAC).
• Загружает файлы по следующим ссылкам:

  http://77.***.168/~admin/install/1.jpg
  http://77.***.168/~admin/install/2.jpg
  http://77.***.168/~admin/install/ChilkatCert_NT4.dll
  http://77.***.168/~admin/install/extract_cert.exe
  

  Загруженные файлы сохраняются в системе соответственно как:

  %System%\AcroIEHelper.dll
  %System%\ChilkatCert_NT4.dll
  %System%\extract_cert.exe
  

  На момент создания описания приведенные ссылки не работали.
• При помощи системной утилиты "regsvr32.exe" регистрирует в системе загруженную ранее библиотеку "AcroIEHelper.dll".
• Запускает загруженный файл "extract_cert.exe". После этого троянец завершает свою работу.

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

1. Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
2. Удалить файлы:

   %System%\AcroIEHelper.dll
   %System%\ChilkatCert_NT4.dll
   %System%\extract_cert.exe
   

3. Восстановить оригинальные значения ключей системного реестра (как работать с реестром?):

   [HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
   "TaskbarNoNotification" 
   
   [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   "EnableBalloonTips" 
   
   [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System]
   "EnableLUA"
   

4. Очистить каталог Temporary Internet Files, который может содержать инфицированные файлы (Как удалить инфицированные файлы в папке Temporary Internet Files?).
5. Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).