Trojan.Win32.Inject.jgf

Технические детали

Троянская программа. Программа является приложением Windows (PE EXE-файл). Имеет размер 23040 байт. Написана на С++.

Инсталляция

Если троянец был запущен с именем отличным от "rs32net.exe", то он копирует свое тело в системный каталог Windows под именем "rs32net.exe":

Далее для автоматического запуска при каждом следующем старте системы троянец создает ссылку на свой исполняемый файл в ключе автозапуска системного реестра:

После чего оригинальное тело троянца удаляется.

В противном случае, троянец добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:

Деструктивная активность

После запуска троянец запускает системный процесс:

И внедряет свой вредоносный код в его адресное пространство.

Данный код детектируется Антивирусом Касперского как Trojan-Downloader.Win32.Small.absw и пытается получить файлы для загрузки с сервера злоумышленника:

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

1. При помощи ( "Диспетчера задач") завершить троянский процесс.
2. Удалить ключи (системного реестра):
   [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
   "rs32net" = "%System%\rs32net.exe"
   или
   [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
   "rs32net" = "<путь_к_оригинальному_телу_троянца>"
3. Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
4. Удалить файл:
   %System%\rs32net.exe
5. Очистить каталог %Temporary Internet Files% ):
6. Перезагрузить компьютер.
7. Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).