Trojan-Dropper.Win32.Agent.aflx

Технические детали

Троянская программа, устанавливающая другие программы на компьютере пользователя без его ведома. Является приложением Windows (PE-EXE файл). Имеет размер 26243 байта. Упакована PE_Patch, UPack. Распакованный размер – около 95 КБ. Написана на C++.

Деструктивная активность

После запуска троянец выполняет следующие действия:

• извлекает из своего тела файлы, которые сохраняются в системе под следующими именами:

  %System%\f28907d.drv

  (5504 байта; детектируется Антивирусом Касперского как "Trojan-GameThief.Win32.OnLineGames.tvot")

  %System%\<rnd>.dll

  (15883 байта; детектируется Антивирусом Касперского как "Trojan-GameThief.Win32.Magania.ammk")

  %System%\<rnd>.cfg (212 байт)

  где <rnd> – случайное восьмизначное шестнадцатеричное число.
  Файлы "<rnd>.dll" и "<rnd>.cfg" создаются с атрибутами "скрытый" (hidden) и "системный" (system).
• Создает и запускает в системе службу с именем "f28907d", исполняемым файлом которой является извлеченный ранее файл "f28907d.drv".
• Последовательно с интервалом в 1 секунду вызывает из извлеченной библиотеки "<rnd>.dll" функции с именами:

  Start
  Stop
  

• Троянец содержит в своем теле хеш имени процесса, полученный при помощи алгоритма хеширования MD5, который сравнивает с хешами имен всех запущенных в системе процессов. Если хеши совпали, троянец внедряет код библиотеки "<rnd>.dll" в адресное пространство найденного процесса.
• Удаляет файл:

  %System%\VErCLSiD.exe

• Для автоматического запуска извлеченной ранее библиотеки создаются следующие ключи системного реестра:
  [HKCR\CLSID\{201476D0-2B18-462E-AB9F-3E2B0CC8732B}
  \InprocServer32] "(Default)" = "<rnd>.dll"
  "ThreadingModel" = "Apartment"
  
  [HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\
  ShellExecuteHooks]
  "{201476D0-2B18-462E-AB9F-3E2B0CC8732B}"=""
• Для удаления своего оригинального файла после завершения его работы запускает системный командный интерпретатор "cmd.exe" со следующими параметрами:

  /c del <полный путь к оригинальному файлу троянца> > nul

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

1. Удалить ключи системного реестра (как работать с реестром?):
   [HKCR\CLSID\{201476D0-2B18-462E-AB9F-3E2B0CC8732B}\InprocServer32]
   "(Default)" = "<rnd>.dll"
   "ThreadingModel" = "Apartment"
   
   [HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
   "{201476D0-2B18-462E-AB9F-3E2B0CC8732B}"=""
2. Удалить ветвь системного реестра (как работать с реестром?):

   [HKLM\System\CurrentControlSet\Services\f28907d]

3. Перезагрузить компьютер.
4. Удалить файлы:

   %System%\f28907d.drv 
   %System%\<rnd>.dll 
   %System%\<rnd>.cfg 
   

5. Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).