Backdoor.Win32.Agent.abgg

Технические детали

Троянская программа, предоставляющая злоумышленнику удаленный доступ к зараженному компьютеру. Программа является приложением Windows (PE EXE-файл). Имеет размер 22528 байт.

Инсталляция

После запуска троянец копирует свое тело в системный каталог Windows под именем "digeste.dll":

Для автоматического запуска при каждом следующем старте системы троянец добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:

Для контроля уникальности своего процесса в системе троянец создает уникальный идентификатор с именем "_SYSTEM_F2A5DE7_".

Деструктивная активность

Бэкдор запускает системный процесс "svchost.exe" и внедряет в него часть своего вредоносного кода, который детектируется Антивирусом Касперского как Backdoor.Win32.Small.gra. Данный вредоносный код отправляет в http-запросе на сервер злоумышленника следующую информацию:

где "uid" — статически заданное значение "1", "guid" — серийный номер диска, "rnd" — случайное число, "first" — флаг первого запуска (если запуск первый, то значение "1", если нет, то "0").

В ответ получает сценарий дальнейшей работы бэкдора. Лог своей работы сохраняет в каталоге Windows под именем "wiaserviv.log":

На момент создания описания сервер злоумышленника был недоступен.

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

1. Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
2. Удалить копию троянца:
   %System%\digeste.dll
3. Удалить файл, созданный троянцем:
   %WinDir%\wiaserviv.log
4. Удалить из ключа системного реестра название вредоносной библиотеки:
   [HKLM\System\CurrentControlSet\Control\SecurityProviders] "SecurityProviders" = "digeste.dll"
5. Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).