Trojan-Downloader.Win32.Agent.capa

Технические детали

Троянская программа, которая без ведома пользователя загружает из сети Интернет другие вредоносные программы и запускает их на выполнение. Программа является приложением Windows (PE EXE-файл). Имеет размер 25988 байт. Упакована при помощи UPX. Распакованный размер — около 53 КБ. Написана на C++.

Деструктивная активность

После активации троянец добавляет свой исполняемый файл в список исключений в Windows XP Firewall:

Если троянец находит в системе файл с именем:

iBank

то производит загрузку файлов с одного из следующих URL:

http://213.182.197.***/update/javaw.exe

Данный файл имеет размер 102400 байт и детектируется Антивирусом Касперского как Trojan-Spy.Win32.Agent.ayjb.

http://213.182.197.***/update/bss.exe

Данный файл имеет размер 106496 байт и детектируется Антивирусом Касперского как Trojan-Spy.Win32.Agent.ayiv.

http://213.182.197.***/update/fak.exe

Данный файл имеет размер 100864 байта и детектируется Антивирусом Касперского как Trojan-Spy.Win32.Agent.ayiw.

Если троянец находит в системе файлы с именами:

Core.exe
BS-Defender
BSClnt

То троянец производит загрузку файла со следующего URL:

http://213.182.197.***/update/socks5.exe

На момент создания описания ссылка не работала.
Загруженные файлы троянец сохраняет под следующими именами соответственно:

%Program Files%\Common Files\sqlserv.exe
%Program Files%\Common Files\sqlbrowser.exe
%Program Files%\Common Files\sql.exe
%Program Files%\Common Files\sqlbrowse.exe

После успешного сохранения файлы запускаются на выполнение.
Если троянец находит в системе файл с именем:

LBank

То троянец завершает свою работу.
Также троянец во временном каталоге текущего пользователя Windows создает файл командного интерпретатора под именем "del.bat":

%Temp%\del.bat

В данный файл троянец записывает код для отправки двух ICM пакетов с интервалом в 1 секунду на локальный узел, удаления оригинального тела троянца и самого файла командного интерпретатора. Далее файл запускается на выполнение.

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

1. При помощи ( "Диспетчера задач") завершить троянский процесс.
2. Удалить ключ (системного реестра):
   [HKLM\System\ControlSet001\Services\SharedAccess\
   Parameters\FirewallPolicy\
   StandardProfile\AuthorizedApplications\List]
   "<путь к оригинальному файлу троянца>" =
   "< путь к оригинальному файлу троянца> :*:Enabled:RASS Server"
3. Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
4. Удалить файлы:

   %Program Files%\Common Files\sqlserv.exe
   %Program Files%\Common Files\sqlbrowser.exe
   %Program Files%\Common Files\sql.exe
   %Program Files%\Common Files\sqlbrowse.exe

5. Очистить каталог %Temporary Internet Files% ).
6. Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).