Trojan-Downloader.Win32.Agent.cvbx

Технические детали

Троянская программа, загружающая файлы из сети Интернет без ведома пользователя и запускающая их. Является приложением Windows (PE-EXE файл). Имеет размер 7168 байт. Упакована UPX. Распакованный размер – около 25 КБ. Написана на C++.

Деструктивная активность

После запуска троянец выполняет следующие действия:

• для контроля уникальности своего процесса в системе создает уникальный идентификатор с именем:

  IUTIUTR865EYFDSAF132

• Для автоматического запуска своего оригинального файла при каждом следующем старте системы дописывает подстроку, содержащую полный путь к файлу, в значение ключа системного реестра:

  [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
  "shell"

  Таким образом, троянец будет запускаться процессом "WINLOGON.EXE" даже при загрузке системы в "безопасном режиме".
• Добавляет свой оригинальный файл в список доверенных приложений Брандмауэра Windows путем создания следующего ключа системного реестра:

  [HKLM\System\CurrentControlSet\Services\SharedAccess\
  Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
  
  "<полный путь к оригинальному файлу троянца>" = "
  <полный путь к оригинальному файлу троянца>:*:Enabled:ipsec"
  

• Устанавливает опции для браузера, установленного по умолчанию в системе, всегда запускаться в режиме "on-line", добавляя в системный реестр следующую информацию:

  [HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings]
  "GlobalUserOffline" = "0"

• В бесконечном цикле каждые 10 секунд загружает из сети Интернет файлы по следующим ссылкам:

  http://www.varg***any.com/logo.gif
  http://pay-d***gage.com/images/logo.gif
  http://focu***soft.com/logo.gif
  

  Загруженные файлы сохраняются в каталоге хранения временных файлов пользователя как

  %Temp%\<rnd>.exe

  где <rnd> – случайная последовательность цифр и латинских букв (например: "w558e29").

  После успешной загрузки файлы запускаются на выполнение. На момент создания описания файлы не загружались.

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

1. При помощи Диспетчера задач завершить троянский процесс.
2. Удалить подстроку, содержащую полный путь к оригинальному файлу троянца в значении ключа системного реестра (как работать с реестром?):

   [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
   "shell"
   

3. Удалить ключ системного реестра (как работать с реестром?):

   [HKLM\System\CurrentControlSet\Services\SharedAccess\
   Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
   
   "<полный путь к оригинальному файлу троянца>" = "
   <полный путь к оригинальному файлу троянца>:*:Enabled:ipsec"
   

4. Восстановить оригинальное значение ключа системного реестра (как работать с реестром?):

   [HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings]
   "GlobalUserOffline"
   

5. Удалить файлы:

   %Temp%\<rnd>.exe

6. Очистить каталог Temporary Internet Files, который может содержать инфицированные файлы (Как удалить инфицированные файлы в папке Temporary Internet Files?).
7. Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).