Trojan-Downloader.Win32.Agent.tuc

Технические детали

Троянская программа, которая без ведома пользователя загружает из сети Интернет другие вредоносные программы и запускает их на выполнение. Программа является приложением Windows (PE EXE-файл). Имеет размер 26552 байта. Упакована при помощи UPX. Распакованный размер – около 43 КБ. Написана на Delphi.

Деструктивная активность

После запуска троянец отображает следующее сообщение:

Троянец изменяет следующие значения параметров системного реестра.

• Запрещает запускать "Диcпeтчep зaдaч" для наблюдения за процессами, выполнением программ, а также созданием изменений в приоритете или в состоянии индивидуальных процессов:
  [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
  "DisableTaskMgr" = "1"
• Запрещает запустить Regedit.exe или Regedt32.exe для изменения системного реестра:
  [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
  "DisableRegistryTools" = "1"
• Отключает в меню "Пуск" пункт "Выполнить", а также сочетание клавиш + отключается.
  [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
  "NoRun" = "1"
• Запрещает выключать компьютер с помощью команды "Выключить компьютер" в меню "Пуск", а также через нажатие клавиш Ctrl+Shift+Del.

Останавливает сервисы со следующими именами:

Троянец отправляет запрос для загрузки файла на один из адресов злоумышленника:

Загруженный файл сохраняется в следующий каталог под именем "index.html":

На момент создания описания из данного файла троянец считывал URL для загрузки других файлов:

Загруженные файлы сохраняются под следующими именами соответственно:

После чего из сохраненных файлов троянец извлекает во временный каталог текущего пользователя Windows следующие вредоносные файлы:

Данный файл имеет размер 10240 байт и детектируется Антивирусом Касперского, как Trojan.Win32.Pakes.kxv.

Данный файл имеет размер 85960 байт и детектируется Антивирусом Касперского, как Trojan-Dropper.Win32.Agent.bfr.

Данный файл имеет размер 291776 байт.

Данный файл имеет размер 44032 байта и детектируется Антивирусом Касперского, как Trojan.Win32.Delf.fdx.

Данный файл имеет размер 419731 байт и детектируется Антивирусом Касперского, как Trojan.Win32.Agent.agih.

Данный файл имеет размер 45063 байта и детектируется Антивирусом Касперского, как not-a-virus:AdWare.Win32.ZenoSearch.o.

После успешного сохранения файлы запускаются на выполнение.

Далее в том же каталоге троянец создает файл командного интерпретатора "upd1.bat":

В который записывает код для удаления оригинального тела троянца и каталога "%WinDir%Web Download".

По завершению своей работы троянец запускает на выполнение файл "%Temp%\upd1.bat ".

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

1. При помощи ( "Диспетчера задач") завершить троянский процесс.
2. Удалить значения параметров в ключах системного реестра:
   [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
   "DisableTaskMgr" = "1"
   [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
   "DisableRegistryTools" = "1"
   [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
   "NoRun" = "1"
   [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
   "NoClose" = "1"
3. Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
4. Очистить содержимое папки %Temp%
5. Очистить каталог %Temporary Internet Files%.
6. Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).