Trojan-Dropper.Win32.Agent.agqq

Технические детали

Троянская программа, устанавливающая другие вредоносные программы на компьютере пользователя без его ведома. Является приложением Windows (PE-EXE файл). Имеет размер 19675 байт. Упакована WinUpack. Распакованный размер – около 51 КБ. Написана на C++.

Деструктивная активность

После запуска троянец выполняет следующие действия:

• извлекает из своего тела файл, который сохраняется в системе как

  %System%\8887BD76.dat

  (7168 байт; детектируется Антивирусом Касперского как "Rootkit.Win32.Agent.gzp")
• Создает и запускает в системе службу с именем

  SafeMon360

  бинарным файлом которой является извлеченный ранее файл.
• Для удаления своего оригинального файла после завершения его работы троянец создает во временном каталоге пользователя файл:

  %Temp%\b.bat

  следующего содержания:

  :try
  if  not exist %1 goto END
  DEL %1
  GOTO try
  :END
  

• Запускает созданный файл.

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

1. Удалить ветви системного реестра (как работать с реестром?):

   [HKLM\System\ControlSet001\Services\SafeMon360]
   [HKLM\System\CurrentControlSet\Services\SafeMon360]
   

2. Перезагрузить компьютер.
3. Удалить файлы:

   %System%\8887BD76.dat
   %Temp%\b.bat
   

4. Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).

Резюме

• Trojan-Dropper. Скрытно устанавливает в систему другие вредоносные программы

Технические детали

Основной файл является приложением Windows (PE EXE-файл). Имеет размер 19668 байт. Файл был подвергнут обработке специальными утилитами "упаковщиками". Упаковка может применяться в разнообразных целях, в том числе и в легальных программах. Однако вирусописатели зачастую используют ее для обхода средств антивирусной защиты, а также затруднения анализа такой упакованной программы вирусным аналитикомУпакован UPack.

Инсталляция

Создает файлы на зараженном компьютере

Вредоносная активность

Создает файлы на зараженном компьютере. Созданные файлы детектируются Антивирусом Касперского как:

• Rootkit.Win32.Agent.gzp

После чего обеспечивается Используя системный реестр, системные службы или специальные системные файлы, программа может обеспечивать свой запуск или запуск созданных ею файлов при каждой следующей загрузке ОС Windowsавтозагрузка установленных файлов:

используя системные службы

Установленные файлы запускаются на исполнение

Прочие действия

Выполняет запуск определенных файлов (команд)