Trojan-Downloader.Win32.Agent.flkh

Технические детали
Деструктивная активность
Рекомендации по удалению

Технические детали

Троянская программа, которая без ведома пользователя скачивает на компьютер другое программное обеспечение и запускает его на исполнение. Программа является приложением Windows (PE EXE-файл). Имеет размер 87040 байт. Упакована при помощи ASPack. Распакованный размер – около 152 КБ. Написана на Visual Basic.

Инсталляция

После активации троянец копирует свой исполняемый файл в первый из существующих каталогов нижеприведенного списка под именем "MsnUpdtr.exe":

C:\Program Files\Messenger\MsnUpdtr.exe
C:\Program Files\Windows Live\Messenger\MsnUpdtr.exe
C:\Program Files\Windows Live\MsnUpdtr.exe
C:\Program Files\MSN Apps\Updater\MsnUpdtr.exe
C:\Program Files\MSN Messenger\MsnUpdtr.exe

Для автоматического запуска при каждом следующем старте системы троянец добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"MsnUpdtr"="<путь к телу троянца>\MsnUpdtr.exe"

Деструктивная активность

Троянец загружает файл со следующего URL:

http://www.sn***lf.net/msnupdt/info.dat

Загруженный файл сохраняется в рабочем каталоге троянца.

%WorkDir%\temp.dat

На момент создания описания загруженный файл содержал следующие строки:

Required -> Yes
http://www.snip***olf.net
sniperwolf.net

Затем троянец выполняет обращение к ресурсу указанному в загруженном файле конфигурации.

Во время своей работы троянец создает следующие файлы:

%WorkDir%\Log.txt
%WorkDir%\SucLog.txt

в которые записывает информацию о ходе своей работы, такую как запуск, информация о зараженных сменных носителях.

Также троянец создает следующие записи в системном реестре:

[HKCU\Software\Microsoft\Notepad]
"lfRand"="IP адрес зараженного компьютера в 
зашифрованном виде"
"lfCurrentEdit"="дата установки троянца в 
зашифрованном виде"

Распространение:

Троянец копирует свое тело на все доступные для записи съемные диски под следующим именем:

<имя зараженного раздела>:\MsnUpdtr.exe

Файлу присваиваются атрибуты "скрытый" (hidden), "системный" (system).

Вместе со своим исполняемым файлом троянец помещает файл "autorun.inf":

<имя зараженного раздела>:\autorun.inf

который содержит следующие строки:

[autorun]
shellexecute=MsnUpdtr.exe
shell\lost=Open
shell\lost\command=MsnUpdtr.exe
shell=lost

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

1. При помощи Диспетчера задач завершить троянский процесс.
2. Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
3. Удалить файл:

   %WorkDir%\Log.txt
   %WorkDir%\SucLog.txt
   %WorkDir%\temp.dat
   C:\Program Files\Messenger\MsnUpdtr.exe
   C:\Program Files\Windows Live\Messenger\MsnUpdtr.exe
   C:\Program Files\Windows Live\MsnUpdtr.exe
   C:\Program Files\MSN Apps\Updater\MsnUpdtr.exe
   C:\Program Files\MSN Messenger\MsnUpdtr.exe
   <имя зараженного раздела>:\MsnUpdtr.exe
   <имя зараженного раздела>:\autorun.inf
   

4. Удалить реестра (системного реестра):

   [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
   "MsnUpdtr"="<путь к телу троянца>\MsnUpdtr.exe"
   
   [HKCU\Software\Microsoft\Notepad]
   "lfRand"="IP адрес зараженного компьютера в зашифрованном виде"
   "lfCurrentEdit"="дата установки троянца в зашифрованном виде"
   

5. Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).