Trojan-Downloader.Win32.Agent.dilt

Технические детали
Деструктивная активность
Рекомендации по удалению

Технические детали

Троянская программа, которая без ведома пользователя скачивает на компьютер другое программное обеспечение и запускает его на исполнение. Является динамической библиотекой Windows (PE DLL-файл). Имеет размер 19968 байт. Написана на C++.

Инсталляция

После запуска троянец копирует свое тело в системный каталог Windows под именем "rqfp.kmo":

%System%\rqfp.kmo

Для автоматического запуска при следующем старте системы троянец добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:

Деструктивная активность

Для контроля уникальности своего процесса в системе троянец создает уникальный идентификатор с именем:

1767633395695bf1f3

Далее троянец создает процесс с именем "svchost.exe" и внедряет в него вредоносный код:

svchost.exe

Троянец отправляет запрос следующего вида:

http://myldxs.com/lxmax/bb.php?v=200&id=<rnd>&b=13mru&tm=1412

Где <rnd> - случайный набор цифр.

В ответ получает адреса, используемые для загрузки вредоносных файлов. На момент создания описания, троянец получал строку следующего вида:

[info]delay:45|upd:0|backurls:myldxrz.com[/info]

При получении адресов, троянец выполняет загрузку вредоносных файлов во временный каталог текущего пользователя Windows со следующими именами:

%Temp%<rnd1>.tmp

Где <rnd1> - случайный набор цифр и букв латинского алфавита. После успешного сохранения файлы запускаются на исполнение.

Если на компьютере пользователя был установлен пакет приложений "Microsoft Office", тогда троянец устанавливает низкий уровень безопасности, записав следующие значения в ключ системного реестра:

Также троянец создает ключи Если файл троянца не был расположен в системном каталоге Windows или его имя отличалось от "rqfp.kmo", тогда троянец выполняет удаление своего тела.

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

1. Удалить файлы:

   %System%\rqfp.kmo

2. Очистить каталог Temporary Internet Files:

   %Temporary Internet Files%

3. Удалить ключ системного реестра:

   [HKCR\idid]

4. При необходимости восстановить значения параметров "Level" и "AccessVBOM" ключа системного реестра):
   [HKCU\Software\Microsoft\Office\11.0\Word\Security]
   "Level"
   "AccessVBOM"
5. Восстановить значение параметра ключа системного реестра на следующее:
   [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   "Shell" = "Explorer.exe"
6. Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).