Trojan-Downloader.Win32.Agent.bcki

Технические детали

Троянская программа, которая без ведома пользователя скачивает на компьютер другое программное обеспечение и запускает его на исполнение. Является динамической библиотекой Windows (PE DLL-файл). Имеет размер 12751 байт. Упакована неизвестным упаковщиком. Распакованный размер — около 61 КБ. Написана на С++.

Инсталляция

Данная вредоносная библиотека устанавливается и регистрируется в системе с помощью других вредоносных программ.

Деструктивная активность

После запуска троянец создает пустой файл с именем:

%Windir%\system32\zhuruqi.tmp

После этого загружает файлы со следующих URL:

http://www.1***2.com/svchosi.exe
http://www.1***2.com/zhuruqi.exe

Файлы сохраняются под следующими именами соответственно:

%Windir%\system32\svchosi.exe
%Windir%\system32\zhuruqi.exe

После успешного сохранения файлы запускаются на исполнение.

На момент создания описания по данным ссылкам исполняемые файлы не загружались.

Для автоматического запуска при каждом следующем старте системы вредонос добавляет ссылки на загруженные файлы в ключи автозапуска системного реестра:

 [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"<символы в китайской кодировке>" = "%Windir%\system32\zhuruqi.exe"
"svchosi" = "%Windir%\system32\svchosi.exe"

После этого троянец ищет процессы:

svchos<rnd>.exe

Где <rnd> - числа от 1 до 9.

Если данные процессы не были запущены, тогда троянец запускает соответствующие исполняемые файлы из системного каталога Windows:

%System%\svchos<rnd>.exe

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

1. При помощи <Диспетчера задач> завершить вредоносные процессы:

   zhuruqi.exe
   svchosi.exe

2. Удалить файлы:

   %Windir%\system32\zhuruqi.tmp
   %Windir%\system32\svchosi.exe
   %Windir%\system32\zhuruqi.exe

3. Удалить параметры ключа (системного реестра):

    [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   "<символы в китайской кодировке>" = "%Windir%\system32\zhuruqi.exe"
   "svchosi" = "%Windir%\system32\svchosi.exe"

4. Очистить каталог Temporary Internet Files, содержащий инфицированные файлы(Как удалить инфицированные файлы в папке Temporary Internet Files?):

   %Temporary Internet Files%

5. Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).