Trojan-Dropper.Win32.Agent.albv

Технические детали

Троянская программа, выполняющая вредоносные действия на компьютере пользователя. Является приложением Windows (PE-EXE файл). Имеет размер 23552 байта.

Инсталляция

Троянец копирует свой исполняемый файл как:

Для автоматического запуска при каждом следующем старте системы троян добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:

Деструктивная активность

Троянец добавляет свой исполняемый файл в список доверенных приложений Windows Firewall.

После чего запускает процесс "iexplore.exe" и внедряет в него свой код.

Пытается завершить следующие процессы:

avesvc.exe
ashdisp.exe
avgrsx.exe
bdss.exe
spider.exe
avp.exe
nod32krn.exe
cclaw.exe
dvpapi.exe
ewidoctrl.exe
mcshield.exe
pavfires.exe
almon.exe
ccapp.exe
pccntmon.exe
fssm32.exe
issvc.exe
vsmon.exe
cpf.exe
ca.exe
tnbutil.exe
avp.exe
mpfservice.exe
npfmsg.exe
outpost.exe
tpsrv.exe
pavfires.exe
kpf4ss.exe
persfw.exe
vsserv.exe
smc.exe

А так же службы следующих антивирусных программ и сетевых фильтров:

Троян пытается похитить пароли к веб-сайтам, сохраненные в кеше следующих браузеров:

А так же пароли и данные учетных записей следующих IM-клиентов:

Так же троян содержит встроенный клавиатурный шпион и может делать скриншоты рабочего стола пользователя, которые сохраняются во временную папку с именами вида .tmp, где N – некоторое десятичное число.

Собранную информацию троян загружает на сервер злоумышленников:

Распространение на съемных носителях

Троянец копирует свой исполняемый файл в корень каждого съемного диска с именем:

<X>:\wlan.exe, где X – буква раздела

Также вместе со своим исполняемым файлом помещает в корень каждого раздела сопровождающий файл:

который запускает исполняемый файл троянца, каждый раз, когда пользователь открывает зараженный раздел при помощи программы "Проводник".

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

1. При помощи <Диспетчера задач> завершить вредоносный процесс.
2. Удалить оригинальный файл трояна (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
3. Удалить параметр в ключе системного реестра:
   [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   "WSVCHO" = "%WinDir%\system\svhost.exe"
4. Удалить файл:
   %WinDir%\system\svhost.exe
5. Очистить содержимое папки %Temp%.
6. Удалить следующие файлы со всех съемных носителей:

   <X>:\autorun.inf
   <X>:\wlan.exe, где X – буква раздела

7. Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).