Trojan-Downloader.Win32.VB.eql

Технические детали
Деструктивная активность
Рекомендации по удалению

Технические детали

Троянская программа, которая без ведома пользователя скачивает на компьютер другое программное обеспечение. Программа является приложением Windows (PE EXE-файл). Имеет размер 1509125 байт.

Инсталляция

После запуска троянец копирует свое тело в системный каталог Windows под именем "WINSP00L.EXE":

%System%\WINSP00L.EXE

Для автоматического запуска при каждом следующем старте системы троянец добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"WINSP00L"="%System%\WINSP00L.EXE"

Деструктивная активность

После запуска троянец извлекает из своего тела в каталог "E_4" во временном каталоге текущего пользователя следующие файлы:

%Temp%\E_4\krnln.fnr - 1110016 байт
%Temp%\E_4\shell.fne - 61440 байт
%Temp%\E_4\eAPI.fne - 335872 байта
%Temp%\E_4\internet.fne - 196608 байт
%Temp%\E_4\spec.fne - 86016 байт
%Temp%\E_4\RegEx.fne - 167936 байт
%Temp%\E_4\dp1.fne - 126976 байт
%Temp%\E_4\com.run - 278528 байт

После этого копирует их в системный каталог Windows под теми же именами:

%System%\krnln.fnr
%System%\shell.fne
%System%\eAPI.fne
%System%\internet.fne
%System%\spec.fne
%System%\RegEx.fne
%System%\dp1.fne
%System%\com.run

Кроме того, извлекает в системный каталог Windows файлы:

%System%\ul.dll — 2404 байта
%System%\og.dll — 692 байта
%System%\og.edt — 512 байт

После выполнения этих действий троянец обращается по адресу:

http://www.*****base.cn/install.htm?pn=M080410

На момент создания описания ссылка не работала. Файл, расположенный по данной ссылке, сохраняется в каталоге временных файлов интернет и запускается на выполнение. Имя файла — случайное. А так же обращается на следующие адреса:

http://www.microsoft.com
http://hi.baidu.com/siletoyou
http://www.baihe.googlepages.com/ul.htm
http://www.bloguser.googlepages.com/au.htm

После этого извлекает из своего тела файл с именем, составленным из текущей даты и времени, например 20090929153554.exe и помещает его в системный каталог Windows:

%System%\20090929153554.exe

Данный файл имеет размер 9216 байт.
Извлеченный файл запускается на выполнение, после чего удаляется.
Кроме того, троянец распространяется при помощи сменных носителей под именем "Recycled.exe". Для автоматического запуска файла троянца в корневом каталоге сменного носителя также создается файл "autorun.inf".

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

1. При помощи Диспетчера задач завершить троянский процесс:

   WINSP00L.EXE

2. Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
3. Удалить копию троянца:

   %System%\WINSP00L.EXE

4. Удалить файлы и каталог, созданные троянцем:

   %Temp%\E_4\krnln.fnr
   %Temp%\E_4\shell.fne
   %Temp%\E_4\eAPI.fne
   %Temp%\E_4\internet.fne
   %Temp%\E_4\spec.fne
   %Temp%\E_4\RegEx.fne
   %Temp%\E_4\dp1.fne
   %Temp%\E_4\com.run
   %Temp%\E_4
   %System%\krnln.fnя
   %System%\shell.fne
   %System%\eAPI.fne
   %System%\internet.fne
   %System%\spec.fne
   %System%\RegEx.fne
   %System%\dp1.fne
   %System%\com.run
   %System%\ul.dll
   %System%\og.dll
   %System%\og.edt

   Удалить ключ системного реестра:

   [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
   "WINSP00L"="%System%\WINSP00L.EXE"

5. Проверить сменные носители на наличие файлов:

   Recycled.exe
   autorun.inf

   В случае обнаружения — удалить их.
6. Очистить каталог Temporary Internet Files, содержащий инфицированные файлы(Как удалить инфицированные файлы в папке Temporary Internet Files?):
7. Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).