Trojan.Win32.Autoit.ci

Технические детали

Троянская программа. Имеет размер 617473 байта. Упакована ASPack. Распакованный размер – около 678 КБ.

Инсталляция

После запуска троянец копирует свое тело в следующие файлы:

Для автоматического запуска при каждом следующем старте системы троянец добавляет ссылки на свои копии в следующие ключи системного реестра:

При этом исполняемый файл троянца будет запускаться процессом "winlogon.exe" даже при загрузке Windows в "Безопасном режиме".

Деструктивная активность

После запуска троянец выполняет следующие действия:

• Выполняет попытку установки соединения с HTTP-серверами:

  87.248.***.14
  69.147.***.224

• Создает каталог:

  %System%\<rnd>

  где <rnd> — случайное пятизначное десятичное число.
• Извлекает из своего тела файл, который сохраняется в системе как

  %System%\<rnd>\svchost.exe

  (525312 байт; детектируется Антивирусом Касперского как "not-a-virus:Monitor.Win32.Ardamax.ae")
• Запускает на выполнение извлеченный файл.
• Изменяет значения следующих ключей системного реестра:
  [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
  "NofolderOptions" = 0
  
  [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
  "DisableTaskMgr" = 0
  
  [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
  "DisableRegistryTools" = 1

  Изменение последнего ключа приводит к запрету вызова редактора реестра.

• Создает файл:

  %System%\setup.ini

  (96 байт) следующего содержания:

   [Autorun]
  Open=regsvr.exe
  Shellexecute=regsvr.exe
  Shell\Open\command=regsvr.exe
  Shell=Open

• Запускает системный командный интерпретатор "cmd.exe" со следующими параметрами:

  /C AT /delete /yes

  Это приводит к отмене выполнения всех запланированных заданий "Планировщика заданий" Windows.

  /C AT 09:00 /interactive /EVERY:m,t,w,th,f,s,su %System%\svchost.exe

  "Планировщик заданий" Windows будет запускать копию троянца каждый день в 9:00.
  

  Рекомендации по удалению

  Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

  1. При помощи ( "Диспетчера задач") завершить троянский процесс.
  2. Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
  3. Удалить ключ системного реестра (как работать с реестром?):
     [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
     "Msn Messsenger" = "%System%\regsvr.exe"
  4. Удалить файл:

     %System%\setup.ini

  5. Восстановить исходные значения ключей системного реестра (как работать с реестром?):
     HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
     "Shell" = "... regsvr.exe"
     
     [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
     "NofolderOptions" = 0
     
     [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
     "DisableTaskMgr" = 0
     
     [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
     "DisableRegistryTools" = 1
  6. Запустить системный командный интерпретатор "cmd.exe" со следующими параметрами:

     /C AT /delete /yes 

  7. Перезагрузить компьютер.
  8. Удалить файлы:

     %System%\regsvr.exe
     %System%\svchost.exe
     %WinDir%\regsvr.exe
     %System%\<rnd>\svchost.exe 

  9. Удалить созданный троянцем каталог:

     %System%\<rnd> 

  10. Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).