Trojan-Dropper.Win32.Agent.dcbd

Технические детали

Троянская программа, устанавливающая другие программы на компьютере пользователя без его ведома. Является приложением Windows (PE-EXE файл). Имеет размер 70656 байт. Написана на C++.

Деструктивная активность

После запуска троянец выполняет следующие действия:

• извлекает из своего тела файлы, которые сохраняются в системе как

  %System%\<rnd1>.dll

  (56320 байт; детектируется Антивирусом Касперского как "Trojan.Win32.Agent.eiyv") Данная библиотека экспортирует функцию "Execute", предназначенную для блокирования работы на зараженной системе таких антивирусных программ как

  McAfee
  RAV AntiVirus
  ESET NOD32
  

  Блокирование осуществляется посредством остановки соответствующих служб, удаления ключей системного реестра, а также выгрузки из адресного пространства запущенных в системе процессов некоторых библиотек.

  %System%\<rnd2>.dll

  (8704 байта; детектируется Антивирусом Касперского как "Trojan-Downloader.Win32.Agent.dxqs")

  Библиотека экспортирует функцию "Execute", реализующую загрузку файлов из сети Интернет. Загруженные файлы сохраняются в каталоге "%Temp%". Также при выполнении данной функции в отдельном потоке в бесконечном цикле создается ключ автозапуска системного реестра:

  [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
  "system" = "%System%\system.exe"
  

  Следовательно, файл "%System%\system.exe" будет автоматически запускаться при каждом следующем старте системы. где <rnd1>, <rnd1> – случайные последовательности латинских букв (например: "ugkreaca" и "xonbecca").
• Запускает системную утилиту "rundll32.exe" со следующими параметрами:

  %System%\<rnd1>.dll Execute
  %System%\<rnd2>.dll Execute
  

  Таким образом, из извлеченных библиотек вызываются функции с именами "Execute".
• Перемещает свое тело в файл:

  %System%\system.exe

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

1. Удалить файлы:

   %System%\<rnd1>.dll 
   %System%\<rnd2>.dll 
   %System%\system.exe
   

2. Перезагрузить компьютер либо завершить процесс, содержащий в своем адресном пространстве троянскую библиотеку.
3. Удалить ключ системного реестра (как работать с реестром?):

   [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
   "system" = "%System%\system.exe"
   

4. Удалить файлы, загруженные троянцем, в каталоге "%Temp%".
5. Очистить каталог Temporary Internet Files, который может содержать инфицированные файлы (Как удалить инфицированные файлы в папке Temporary Internet Files?).
6. Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).