Trojan-Downloader.Win32.Small.ehe

Технические детали

Троянская программа, загружающая файлы из сети Интернет без ведома пользователя и запускающая их на исполнение. Является приложением Windows (PE-EXE файл). Имеет размер 3584 байта. Упакована WinUpack. Распакованный размер – около 50 КБ. Написана на C++.

Деструктивная активность

После запуска троянец выполняет следующие действия:

• для идентификации своего присутствия в системе создает ветвь системного реестра:

  [HKLM\Software\Microsoft\Direct3DX]

• Запускает следующий процесс:

  %Program Files%\Outlook Express\wab.exe

  и внедряет в его адресное пространство исполняемый код, осуществляющий загрузку из сети Интернет файлов по следующим ссылкам:

  http://*****money.biz/spl2/fout.php
  http://*****money.biz/out.exe
  

  На момент создания описания указанные ссылки не работали.
  Загруженные файлы сохраняются во временном каталоге пользователя под следующими именами:

  %Temp%\<rnd>.tmp

  где <rnd> – случайное шестнадцатеричное число.
  После успешной загрузки файлы запускаются на выполнение.
  Кроме того, внедренный исполняемый код удаляет оригинальный файл троянца после завершения его работы.
  
  

  Рекомендации по удалению

  Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

  1. При помощи ( "Диспетчера задач") завершить процесс "wab.exe".
  2. Удалить ветвь системного реестра (как работать с реестром?):

     [HKLM\Software\Microsoft\Direct3DX]

  3. Очистить каталог:

     %USERPROFILE%\Local Settings\Temp

  4. Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).