Trojan-Downloader.Win32.Agent.fwcp

Технические детали
Деструктивная активность
Рекомендации по удалению

Технические детали

Троянская программа, которая без ведома пользователя скачивает на компьютер другое программное обеспечение и запускает его на исполнение. Является приложением Windows (PE-EXE файл). Имеет размер 56320 байт. Упакована неизвестным упаковщиком. Написана на С++.

Инсталляция

После запуска троянец поверяет имя своего оригинального файла. Если имя исполняемого файла вредоноса не содержит в себе строку "sdcml.exe" - копирует свой исполняемый файл в каталог хранения временных файлов текущего пользователя под именем:

%Temp%\<rnd>\<rnd2>sdcml.exe

где rnd и rnd2 – случайная последовательность латинских букв. Затем запускает копию своего файла на выполнение. Для автоматического запуска при каждом следующем старте системы троянец добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"<rnd3>"="%Temp%\<rnd>\<rnd2>sdcml.exe"

где rnd3 - случайная последовательность латинских букв.

Деструктивная активность

Для контроля уникальности своего процесса в системе троянец создает уникальный идентификатор с именем:

M192A9959A495455c9A91F31AD22B6833

Для получения дополнительных параметров вредонос подключается к серверу злоумышленника, отправляя в цикле, с интервалом в 30 секунд, HTTP запрос следующего вида:

GET /mod/ HTTP/1.1
User-Agent: Microsoft Internet Explorer
Host: ai***hk.com
Connection: Keep-Alive

На момент создания описания ссылка не работала.

После получения дополнительных данных с сервера, троянец получает доступ на чтение и запись файлов, которые размещаются на "ftp" сервере:

ftp://ai***hk.com/mod

Также вредонос выполняет поиск следующих строк:

index
indix
default
main
home
login
auth
user
check
head
headerA
footer
top
start
counters
redirect
go
in
out
feedback
feed
contact
support
page
news
blog
forum
stat
process
upload
payment
test
restore

в файлах с расширениями:

php
htm
html
aspx 

а также в файлах "htm.php" и "html.php".

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

1. При помощи Диспетчера задач завершить процесс "iexplore.exe".
2. Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
3. Удалить параметр в ключе системного реестра:

   [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   "<rnd3>"="%Temp%\<rnd>\<rnd2>sdcml.exe"
   

4. Удалить файл:

   %Temp%\<rnd>\<rnd2>sdcml.exe

5. Очистить каталог Temporary Internet Files, содержащий инфицированные файлы(Как удалить инфицированные файлы в папке Temporary Internet Files?):

   %Temporary Internet Files%

6. Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).