Trojan-Downloader.Win32.Agent.fdi

Технические детали
Деструктивная активность
Рекомендации по удалению

Технические детали

Троянская программа, которая без ведома пользователя скачивает на компьютер другое программное обеспечение и запускает его на исполнение. Является приложением Windows (PE-EXE файл). Имеет размер 16384 байта. Написана на C++.

Деструктивная активность

После запуска троянец определяет месторасположение приложения MS Internet Explorer и запускает его на выполнение. По имени класса окна "IEFrame" определяет Id процесса и по нему открывает существующий объект процесса. Затем выполняет внедрение в адресное пространство процесса "iexplore.exe" своего вредоносного кода. После активации внедренного кода, троянец, с интервалом в 1055 секунд, выполняет загрузку файлов, которые располагаются по следующим URL:

http://218.***.159/qq.exe
http://www.we***163.cn/root/vip.exe

и сохраняет их соответственно под следующими именами:

%Documents and Settings%\All Users\ieinst21.exe
%Documents and Settings%\All Users\ieinst1.exe

После этого запускает загруженные файлы на выполнение. На момент создания описания ссылки не работали.

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

1. При помощи Диспетчера задач завершить процесс "iexplore.exe".
2. Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
3. При наличии удалить файлы:

   %Documents and Settings%\All Users\ieinst21.exe
   %Documents and Settings%\All Users\ieinst1.exe

4. Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).