Trojan-Dropper.Win32.Agent.athk

Технические детали

Троянская программа, устанавливающая другие программы на компьютере пользователя без его ведома. Является приложением Windows (PE-EXE файл). Имеет размер 25880 байт. Упакована UPX. Распакованный размер – около 54 КБ. Написана на C++.

Деструктивная активность

После запуска троянец выполняет следующие действия:

• извлекает из своего тела файл, который сохраняется в системе как

  %WinDir%\system\<rnd>.tmp

  (29976 байт; детектируется Антивирусом Касперского как "Trojan-GameThief.Win32.OnLineGames.vcps") где <rnd> – случайная последовательность символов, состоящая из трех латинских букв и двух цифр (например: "Vch26").
  Файл создается с атрибутами "скрытый" (hidden) и "системный" (system).
• Создает ключ системного реестра:

  [HKLM\System\CurrentControlSet\Control\Session Manager\Environment]
  "PATH" = "%Temp%\;%System%;%SystemRoot%;%System%\Wbem"
  

• Находит в системе библиотеки:

  %System%\mshtml.dll
  %System%\d3d9.dll
  

  и дописывает в их секции кода код, обеспечивающий внедрение извлеченной ранее библиотеки "<rnd>.tmp" в адресное пространство процессов, подгружающих эти библиотеки.
• Для удаления своего оригинального файла после завершения его работы запускает системный командный интерпретатор "cmd.exe" со следующими параметрами:

  /c del "<полный путь к оригинальному файлу троянца>" > nul

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо воспользоваться Антивирусом Касперского: произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).