Trojan-Downloader.Win32.Agent.mee

Szkodnik ten jest trojanem. Ma posta膰 pliku PE EXE. Rozmiar zainfekowanych plik贸w mo偶e waha膰 si臋 od 70KB do 260KB. Nie zosta艂 w 偶aden spos贸b spakowany. Powsta艂 w j臋zyku programowania Delphi.

Instalacja

Po uruchomieniu trojan kopiuje swoje cia艂o do podkatalogu “intetsrv” katalogu Windows jako "lsass.exe":

%System%inetsrvlsass.exe

Plikowi temu przypisywane s膮 atrybuty "ukryty" i "tylko do odczytu".

Aby zapewni膰 sobie automatyczne uruchamianie si臋 wraz z ka偶dym startem systemu, trojan rejestruje sw贸j plik wykonywalny w rejestrze systemowym:

[HKCUSoftwareMicrosoftWindows NTCurrentVersionWindows]
"load" = "%System%inetsrvlsass.exe"

Dzi臋ki temu trojan uruchamia si臋, zanim u偶ytkownik uzyska dost臋p do systemu Windows.

Trojan tworzy r贸wnie偶 unikatowy identyfikator, “izokraSizokraS” w celu oflagowania swojej obecno艣ci w systemie.

Tworzy r贸wnie偶 nast臋puj膮cy klucz rejestru:

[HKLMSoftwareMicrosoftInternet Explorerinet.]
"Day" = "(data uruchomienia trojana)"

Funkcje szkodnika

Trojan kopiuje swoje cia艂o do wszystkich dysk贸w sieciowych, logicznych i wymiennych, kt贸re zapewniaj膮 mo偶liwo艣膰 zapisu, takich jak te poni偶ej:

:MSOCache90000804-6000-11D3-8CFE-0150048383C9lsass.exe

(x) okre艣la dysk.

Opr贸cz swojego pliku wykonywalnego trojan umieszcza r贸wnie偶 poni偶szy plik w katalogu g艂贸wnym ka偶dego dysku:

(X):autorun.inf

Plik ten b臋dzie uruchamia艂 plik wykonywalny trojana za ka偶dym razem, gdy u偶ytkownik otworzy zainfekowany dysk przy u偶yciu Eksploratora.

Wszystkim plikom stworzonym przez trojana przypisywane s膮 atrybuty "ukryty" i "tylko do odczytu".

Usuwanie szkodnika z zainfekowanego systemu

Je艣li oprogramowanie antywirusowe zainstalowane na twoim komputerze nie jest aktualne lub nie korzystasz z 偶adnego rozwi膮zania antywirusowego, w celu usuni臋cia szkodnika z zainfekowanego systemu wykonaj nast臋puj膮ce operacje:

  1. U偶yj Mened偶era zada艅 w celu zako艅czenia oryginalnego procesu trojana.
  2. Usu艅 nast臋puj膮cy klucz rejestru systemowego:

    [HKLMSoftwareMicrosoftInternet Explorerinet.]
    "Day" = "(data uruchomienia trojana)"

  3. Usu艅 nast臋puj膮c膮 warto艣膰 parametru klucza rejestru:

    [HKCUSoftwareMicrosoftWindows NTCurrentVersionWindows]
    "load" = "%System%inetsrvlsass.exe"

  4. Usu艅 oryginalny plik trojana (lokalizacja b臋dzie zale偶a艂a od sposobu przenikni臋cia programu do zaatakowanego komputera).
  5. Usu艅 nast臋puj膮ce pliki:
    %System%inetsrvlsass.exe
    :MSOCache90000804-6000-11D3-8CFE-0150048383C9lsass.exe
    :autorun.inf
    
  6. Uaktualnij sygnatury zagro偶e艅 i wykonaj pe艂ne skanowanie komputera (w tym celu mo偶na pobra膰 darmow膮 wersj臋 testow膮 oprogramowania Kaspersky Anti-Virus).
Trojan-Downloader.Win32.Agent.mee (Kaspersky Lab),