Trojan-Downloader.Win32.Agent.bgol

Технические детали

Троянская программа, устанавливающая другие программы на компьютере пользователя без его ведома. Является приложением Windows (PE-EXE файл). Имеет размер 23198 байт. Упакована UPack. Распакованный размер – около 143 КБ. Написана на Delphi.

Деструктивная активность

После запуска троянец выполняет следующие действия:

• извлекает из своего тела файлы, которые сохраняются в системе как

  %System%\xaiasp.dll

  (19456 байт; детектируется Антивирусом Касперского как "Trojan.Win32.Delf.inf")

  Данная библиотека внедряется в адресное пространство одного из запущенных в системе процессов. После этого внедренный исполняемый код в бесконечном цикле каждые 28 минут открывает в браузере Internet Explorer ресурс "http://my.li***mm.com".

  %WinDir%\Fonts\system

  (1544 байта; детектируется Антивирусом Касперского как "Trojan.Win32.StartPage.dhu")

  При помощи данного вредоноса стартовая страница браузера Internet Explorer может быть изменена на "http://lu***14.com".

  %WinDir%\Fonts\alg.exe

  (5308 байт; детектируется Антивирусом Касперского как "Trojan-GameThief.Win32.OnLineGames.upwe")

  Этот вредонос, используя извлекаемый из своего тела эксплоит, сохраняемый как

  %WinDir%\Downloaded Program Files\spoolv.exe

  (3740 байт; детектируется Антивирусом Касперского как "Exploit.Win32.IMG-WMF.fk")
  загружает из сети Интернет файл по ссылке:

  http://m.***8.com/mm.exe

  На момент создания описания по данной ссылке загружалась HTML-страница размером 1142 байта.
• Запускает на выполнение извлеченные файлы "system" и "alg.exe".
• Запускает экземпляр процесса "svchost.exe" и внедряет в его адресное пространство исполняемый код извлеченной ранее библиотеки "xaiasp.dll".
• Для удаления своего оригинального файла после завершения его работы создает сценарий командного интерпретатора:

  c:\DEL.bat

  следующего содержания:

  :lo
  del "<полный путь к оригинальному файлу троянца>"
  if exist "<полный путь к оригинальному файлу троянца>" goto lo
  del %0
  

• Запускает созданный сценарий. При этом сам файл "c:\DEL.bat" также удаляется.

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

1. Перезагрузить компьютер.
2. Удалить файлы:

   %WinDir%\Downloaded Program Files\spoolv.exe
   %System%\xaiasp.dll 
   %WinDir%\Fonts\system 
   %WinDir%\Fonts\alg.exe 
   

3. Восстановить оригинальную стартовую страницу браузера Internet Explorer.
4. Очистить каталог Temporary Internet Files, который может содержать инфицированные файлы (Как удалить инфицированные файлы в папке Temporary Internet Files?).
5. Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).