Trojan-Downloader.Win32.Agent.cvpq

Технические детали

Троянская программа, загружающая файлы из сети Интернет без ведома пользователя и запускающая их. Является приложением Windows (PE-EXE файл). Имеет размер 18432 байта. Написана на C++.

Деструктивная активность

После запуска троянец выполняет следующие действия:

• выгружает из системной памяти процесс "conme.exe".
• Извлекает из своего тела файл, который сохраняется в системе как

  %WinDir%\conme.exe

  (10240 байт; детектируется Антивирусом Касперского как "Trojan-Downloader.Win32.Agent.dbll")
• Для автоматического запуска извлеченного файла при каждом следующем старте системы дописывает в значение ключа системного реестра:

  [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
  "Shell"
  

  подстроку:

  %WinDir%\conme.exe     asds

  При этом файл "conme.exe" будет запускаться процессом "WINLOGON.EXE" даже при загрузке системы в "безопасном режиме".
• Запускает на выполнение файл "conme.exe".
• Устанавливает для своего оригинального файла атрибуты "скрытый" (hidden) и "системный" (system).
• Запрещает отображение скрытых файлов Проводником Windows, изменяя для этого значения следующих ключей системного реестра:
  [HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\
  Advanced\Folder\SuperHidden]
  "UncheckedValue" = "0"
  
  [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\
  Advanced] "ShowSuperHidden" = "0"
• Загружает из сети Интернет файл по следующей ссылке:

  http://1.vi***0.cn/reques0.asp?kind=001&mac=<MAC>&key=\YHTOYnXXp[HO

  где <MAC> – физический адрес активного сетевого адаптера.

  Загруженный файл сохраняется в каталоге хранения временных файлов текущего пользователя как

  %Temp%\alwpo.htm

  Загруженному файлу присваиваются атрибуты "скрытый" (hidden) и "системный" (system). После успешной загрузки файл запускается на выполнение. На момент создания описания файл не загружался.

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

1. Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
2. Удалить подстроку

   %WinDir%\conme.exe     asds

   в значении ключа системного реестра (как работать с реестром?):
   [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
   "Shell"
3. Восстановить исходные значения ключей системного реестра (как работать с реестром?):
   [HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\
   Advanced\Folder\SuperHidden]
   "UncheckedValue"
   
   [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   "ShowSuperHidden"
4. Удалить файлы:

   %WinDir%\conme.exe 
   %Temp%\alwpo.htm
   

5. Очистить каталог Temporary Internet Files, который может содержать инфицированные файлы (Как удалить инфицированные файлы в папке Temporary Internet Files?).
6. Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).