Trojan-Downloader.Win32.Small.knb

Технические детали
Деструктивная активность
Рекомендации по удалению

Технические детали

Червь, создающий свои копии на локальных и доступных для записи съемных дисках, содержащий также функционал троянской программы, загружающей файлы из сети Интернет без ведома пользователя и запускающая их.. Является приложением Windows (PE-EXE файл). Имеет размер 6656 байт. Написан на C++.

Инсталляция

После запуска червь копирует свое тело в следующие файлы:

%System%\win32ini.exe
%WinDir%\netlog.dat
%WinDir%\systime.exe

Созданным файлам присваиваются атрибуты "скрытый" (hidden) и "системный" (system).

Для автоматического запуска одной из созданных копий при каждом следующем старте системы создается ключ системного реестра:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"Initialize Win32" = "win32ini.exe"

Далее созданная ранее копия с именем "systime.exe" запускается на выполнение, а оригинальный файл червя завершает свою работу.

Распространение

Червь копирует свое тело на все доступные для записи логические и съемные диски под следующим именем:

<имя зараженного раздела>:\openflash.exe

Вместе со своим исполняемым файлом червь помещает файл:

<имя зараженного раздела>:\autorun.inf

следующего содержания:

[autorun]
open=openflash.exe
action=Открыть папку для просмотра файлов
action=@openflash.exe
icon=shell32.dll,7
shell\open=Открыть папку для просмотра файлов
shell\open\Command=openflash.exe
shell\open\Default=1
shell\explore=Открыть
shell\explore\Command=openflash.exe

что позволяет червю запускаться каждый раз, когда пользователь открывает зараженный раздел при помощи программы "Проводник". Созданным файлам присваиваются атрибуты "скрытый" (hidden) и "системный" (system).

Деструктивная активность

Червь осуществляет загрузку из сети Интернет файла по следующей ссылке:

http://www.lo***obot.ru/routine/download.php

Загруженный файл сохраняется в системе как

%System%\win32ini.exe

После успешной загрузки файл запускается на выполнение. На момент создания описания указанная ссылка не работала.

Кроме того модифицируется значение следующего ключа системного реестра:

[HKLM\Software\Microsoft\Windows\W32I\Update]
"Value" = "<старое значение> + <некоторое целое число>"

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

1. При помощи Диспетчера задач завершить троянский процесс.
2. Удалить ключ системного реестра (как работать с реестром?):

   [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
   "Initialize Win32" = "win32ini.exe"
   

3. Восстановить оригинальное значение ключа системного реестра (как работать с реестром?):

   [HKLM\Software\Microsoft\Windows\W32I\Update]
   "Value"
   

4. Удалить оригинальный файл червя (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
5. Удалить файлы:

   %System%\win32ini.exe
   %WinDir%\netlog.dat
   %WinDir%\systime.exe
   <имя зараженного раздела>:\openflash.exe
   

6. Очистить каталог Temporary Internet Files, который может содержать инфицированные файлы (Как удалить инфицированные файлы в папке Temporary Internet Files?).
7. Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).