Trojan-Dropper.Win32.Killav.ok

Технические детали

Троянская программа, устанавливающая другие программы на компьютере пользователя без его ведома. Является приложением Windows (PE-EXE файл). Имеет размер 24856 байт. Упакована PE_Patch, UPack. Распакованный размер – около 696 КБ. Написана на C++.

Деструктивная активность

После запуска троянец выполняет следующие действия:

• извлекает из своего тела файлы, которые сохраняются в системе под следующими именами:

  %Temp%\~~<rnd1>.~~~ 

  (606208 байт; детектируется Антивирусом Касперского как "Trojan-GameThief.Win32.WOW.vxq")

  %System%\<rnd2>.ini

  (2348 байт; является вспомогательным файлом троянца, вредоносного кода не содержит) где <rnd1> и <rnd2> – случайные последовательности цифр и латинских букв (например: "415f784" и "t329117").
• Запускает системную утилиту "rundll32.exe" со следующими параметрами:
  %Temp%\~~<rnd1>.~~~ Install <полный путь к оригинальному файлу троянца>
  Это приводит к вызову функции "Install" из извлеченной ранее библиотеки.

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

1. Перезагрузить компьютер в «безопасном режиме» (в самом начале загрузки нажать и удерживать клавишу «F8», затем выбрать пункт «Safe Mode» в меню загрузки Windows).
2. Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
3. Удалить файлы:

   %Temp%\~~.~~~
   %System%\.ini

4. Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).

Резюме

• Trojan-Dropper. Скрытно устанавливает в систему другие вредоносные программы

• Trojan. Выполняет действия, характерные для вредоносных программ

Технические детали

Имеет размер 24856 байт. Файл был подвергнут обработке специальными утилитами "упаковщиками". Упаковка может применяться в разнообразных целях, в том числе и в легальных программах. Однако вирусописатели зачастую используют ее для обхода средств антивирусной защиты, а также затруднения анализа такой упакованной программы вирусным аналитикомУпакован UPack.

Инсталляция

Создает следующие файлы на зараженном компьютере:

• Каталог хранения Пользовательских настроек%Documents and Settings%\ Имя пользователя%USERNAME%\LOCALS~1\Temp\~~01ff0c.~~~
• Системный каталог ОС Windows (обычно, C:\Windows\System32)%System%\t329117.ini
• Системный каталог ОС Windows (обычно, C:\Windows\System32)%System%\t3rpcss.dll
• Системный каталог ОС Windows (обычно, C:\Windows\System32)%System%\t329117.dll

Вредоносная активность

Создает следующие файлы:

• Системный каталог ОС Windows (обычно, C:\Windows\System32)%System%\t329117.exe

Следующие файлы запускаются на исполнение:

• Системный каталог ОС Windows (обычно, C:\Windows\System32)%System%\t329117.exe
• Системный каталог ОС Windows (обычно, C:\Windows\System32)%System%\t329117.exe Каталог хранения Пользовательских настроек%Documents and Settings%\ Имя пользователя%USERNAME%\LOCALS~1\Temp\~~01ff0c.~~~ Install <­путь к исходной программе­><­файл исходной программы­>

Внедряет свой код в следующие процессы:

• explorer.exe

Модифицирует (удаляет) системные файлы ОС Windows:

• Системный каталог ОС Windows (обычно, C:\Windows\System32)%System%\rpcss.dll

Для определения своего присутствия в системе создает уникальные идентификаторы "mutex"

• t3291171180

Пытается найти файлы на компьютере пользователя по следующим маскам:

• t329*.dll
• *.~~~

Прочие действия

Удаляет следующие файлы на зараженном компьютере:

• <­путь к исходной программе­><­файл исходной программы­>
• Каталог хранения Пользовательских настроек%Documents and Settings%\ Имя пользователя%USERNAME%\LOCALS~1\Temp\~~01ff0c.~~~