Backdoor.Win32.Agent.ich
Trojan wypakowuje ze swojego cia艂a nast臋puj膮cy plik:
%System%aspimgr.exe
Plik ma rozmiar 73728 bajt贸w. Kaspersky Anti-Virus nie wykrywa tego pliku jako szkodliwy.
Oryginalny plik jest nast臋pnie usuwany.
Backdoor tworzy us艂ug臋 o nazwie "Microsoft ASPI Manager", kt贸ra zapewnia uruchomienie pliku wykonywalnego backdoora wraz z ka偶dym restartem zaatakowanej maszyny.
Na zaatakowanej maszynie na porcie TCP nr 80 trojan uruchamia serwer proxy HTTP. Nast臋pnie wysy艂a powiadomienie, 偶e maszyna zosta艂a zainfekowana na nast臋puj膮ce adresy:
66.199.241.98 82.103.140.75 203.117.175.124 72.21.63.114 66.232.102.169 66.96.196.53
W tym celu wysy艂a 偶膮dania HTTP. Zainfekowana maszyna staje si臋 cz臋艣ci膮 sieci komputer贸w zombie i mo偶e by膰 wykorzystywana do rozsy艂ania spamu lub przeprowadzania atak贸w DoS.
Backdoor tworzy nast臋puj膮ce pliki dziennika:
%WinDir%ws386.ini %WinDir%db32.txt %WinDir%s32.txt %WinDir%f32.txt
Szkodnik tworzy nast臋puj膮cy klucz rejestru:
i zapisuje do tego klucza swoj膮 konfiguracj臋.
Je艣li oprogramowanie antywirusowe zainstalowane na twoim komputerze nie jest aktualne lub nie korzystasz z 偶adnego rozwi膮zania antywirusowego, w celu usuni臋cia szkodnika z zainfekowanego systemu wykonaj nast臋puj膮ce operacje:
- Usu艅 Mened偶er zada艅 w celu zako艅czenia szkodliwego procesu
- Usu艅 nast臋puj膮cy klucz rejestru:
[HKLMSOFTWAREMicrosoftSft] - Usu艅 us艂ug臋 "Microsoft ASPI Manager"
- Usu艅 nast臋puj膮ce us艂ugi:
%WinDir%ws386.ini %WinDir%db32.txt %WinDir%s32.txt %WinDir%f32.txt %System%aspimgr.exe
- Uaktualnij sygnatury zagro偶e艅 i wykonaj pe艂ne skanowanie komputera (w tym celu mo偶na pobra膰 darmow膮 wersj臋 testow膮 oprogramowania Kaspersky Anti-Virus).