Trojan-Downloader.Win32.Agent.dldj

Технические детали

Троянская программа, загружающая файлы из сети Интернет без ведома пользователя и запускающая их. Является приложением Windows (PE-EXE файл). Имеет размер 13300 байт. Написана на C++.

Деструктивная активность

После запуска троянец выполняет следующие действия:

для контроля уникальности своего процесса в системе создает уникальный идентификатор с именем:

mutex_cpa_.la

• Для идентификации своего присутствия в системе создает ключ системного реестра:

  [HKLM\Software\CPACO]
  "ListVer" = "1.0"
  

• Отключает Брандмауэр Windows, запуская системный командный интерпретатор "cmd.exe" со следующими параметрами:

  /c net stop sharedaccess

• Выполняет обращение по следующим URL:
  www.ha***3.com/1.7?id=<ID>&isInst=1&lockcode=1&mac=<MAC>&PcType=
  <PCTYPE>&AvName=<AVNAME>&ProCount=<PROCOUNT>
  www.ha***3.com/1.7?id=<ID>&isSecond=1
  где <ID> – случайная последовательность цифр и латинских букв; <MAC> – физический адрес активного сетевого адаптера; <PROCOUNT> – время в миллисекундах с момента старта системы.

  Подстрока "<PCTYPE>" принимает значение "WangbarPc" если в системе запущен один из следующих процессов:

  clsmn.exe
  Barclient.exe
  scon.exe
  BarClientView.exe
  mzdclient.exe
  NBClient.exe
  EWay.exe
  NxpAuxSvc.exe
  

  В противном случае, "<PCTYPE>" присваивается значение "HomePc".

  Подстрока "<AVNAME>" формируется из имен запущенных в системе процессов антивирусных программ, таких как

  360tray.exe
  360sd.exe
  Ravmond.exe
  avp.exe
  ekrn.exe
  kissvc.exe
  kvsrvxp.exe
  avguard.exe
  MPMon.exe
  Mcshield.exe
  VPTray.exe
  ashWebSv.exe
  

  Если перечисленные процессы в системе не найдены, "<AVNAME>" принимает значение "OtherOrNone".
• Загружает из сети Интернет файл по следующей ссылке:

  http://get.m***3.info:6668/Down/ext/Ge***fo.exe

  Загруженный файл сохраняется под случайным именем в каталоге "%Temporary Internet Files%", и после успешной загрузки запускается на выполнение. На момент создания описания файл не загружался.

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

1. Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
2. Удалить ключ системного реестра (как работать с реестром?):

   [HKLM\Software\CPACO]
   "ListVer" = "1.0"
   

3. Очистить каталог Temporary Internet Files, который может содержать инфицированные файлы (Как удалить инфицированные файлы в папке Temporary Internet Files?).
4. Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).