Trojan-Downloader.Win32.Small.yaa

Технические детали

Троянская программа, загружающая файлы из сети Интернет без ведома пользователя и запускающая их. Является приложением Windows (PE-EXE файл). Имеет размер 4096 байт. Упакована PE_Patch, UPack. Распакованный размер – около 102 КБ. Написана на C++.

Деструктивная активность

После запуска троянец выполняет следующие действия:

• для контроля уникальности своего процесса в системе создает уникальный идентификатор с именем:

  _NBA_DOWNLOAD_MUTEX_1_

• Запускает процесс:

  %System%\winhlp32.exe

• Создает в корне диска C: каталог:

  C:\<rnd>

  где <rnd> – восьмизначное шестнадцатеричное число, сформированное на основании текущего системного времени.

  Каталог создается с атрибутами "скрытый" (hidden) и "системный" (system).

• Проверяет имя своего оригинального файла. Если это имя "userinit.exe", то троянец считывает первые 4096 байт из следующих файлов:

  %WinDir%\twunk_16.exe
  %WinDir%\twunk_32.exe
  %WinDir%\winhelp.exe
  %WinDir%\winhlp32.exe
  %System%\ftp.exe
  %System%\command.com
  %System%\edit.com
  %System%\netstat.exe
  %System%\calc.exe
  %WinDir%\hh.exe
  

  и записывает полученные данные в файл:

  C:\<rnd>\userinit.exe

  Затем троянец пытается запустить созданный файл.
• После паузы в 30 секунд загружает из сети Интернет файл по следующей ссылке:

  http://www.m***78.cn/new.txt

  (На момент создания описания ссылка не работала)

  Файл сохраняется в системе как

  C:\<rnd>\<rnd>

  и содержит ссылки для загрузки на зараженный компьютер других вредоносных файлов. По полученным ссылкам троянец загружает файлы, сохраняя их в каталоге "C:\<rnd>" под случайными именами.

  В случае успешной загрузки файлы запускаются на выполнение. После этого троянец завершает свою работу.

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

1. Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
2. Удалить каталог " C:\<rnd>" и все его содержимое.
3. Очистить каталог Temporary Internet Files, который может содержать инфицированные файлы (Как удалить инфицированные файлы в папке Temporary Internet Files?).
4. Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).