Trojan-Downloader.Win32.Small.eff

Технические детали
Деструктивная активность
Рекомендации по удалению

Технические детали

Троянская программа-загрузчик, предназначенная для скачивания на зараженный компьютер файлов из сети Интернет без ведома пользователя и запуска их на исполнение. Является приложением Windows (PE EXE-файл). Имеет размер 24576 байт. Написана на С++.

Деструктивная активность

После запуска троянец создает в системном реестре ключи для хранения своей информации:

После чего пытается загрузить файл, расположенный по одному из следующих адресов:

http://setup1.*****com/barbindsoft/barsetup.exe
http://setup2.*****com/barbindsoft/barsetup.exe
http://setup3.*****com/barbindsoft/barsetup.exe
http://setup4.*****com/barbindsoft/barsetup.exe

Файл скачивается во временый каталог текущего пользователя под именем «temp.exe»:

%Temp%\temp.exe

Данный файл имеет размер 356352 байта и детектируется Антивирусом Касперского как Trojan-Dropper.Win32.Agent.btz.

В случае успешного скачивания файл запускается на исполнение.

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для ее удаления необходимо выполнить следующие действия:

1. Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер), если он не удалится самостоятельно.
2. Удалить файл, скачанный троянцем:

   %Temp%\temp.exe

3. При помощи редактора реестра удалить следующие ключи системного реестра:

   [HKLM\Software\Microsoft\Direct3D\dinput\update]
   "SetupId"="50077"

   [HKLM\Software\Microsoft\Direct3D\dinput\update\Score]

   [HKLM\Software\Microsoft\Direct3D\dinput\update\StartTime]

   [HKLM\Software\Microsoft\Direct3D\dinput\update\Version]

4. Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).