Trojan-Downloader.Win32.Agent.mee
Po uruchomieniu trojan kopiuje swoje cia艂o do podkatalogu “intetsrv” katalogu Windows jako "lsass.exe":
%System%inetsrvlsass.exe
Plikowi temu przypisywane s膮 atrybuty "ukryty" i "tylko do odczytu".
Aby zapewni膰 sobie automatyczne uruchamianie si臋 wraz z ka偶dym startem systemu, trojan rejestruje sw贸j plik wykonywalny w rejestrze systemowym:
"load" = "%System%inetsrvlsass.exe"
Dzi臋ki temu trojan uruchamia si臋, zanim u偶ytkownik uzyska dost臋p do systemu Windows.
Trojan tworzy r贸wnie偶 unikatowy identyfikator, “izokraSizokraS” w celu oflagowania swojej obecno艣ci w systemie.
Tworzy r贸wnie偶 nast臋puj膮cy klucz rejestru:
"Day" = "(data uruchomienia trojana)"
Trojan kopiuje swoje cia艂o do wszystkich dysk贸w sieciowych, logicznych i wymiennych, kt贸re zapewniaj膮 mo偶liwo艣膰 zapisu, takich jak te poni偶ej:
:MSOCache90000804-6000-11D3-8CFE-0150048383C9lsass.exe
(x) okre艣la dysk.
Opr贸cz swojego pliku wykonywalnego trojan umieszcza r贸wnie偶 poni偶szy plik w katalogu g艂贸wnym ka偶dego dysku:
(X):autorun.inf
Plik ten b臋dzie uruchamia艂 plik wykonywalny trojana za ka偶dym razem, gdy u偶ytkownik otworzy zainfekowany dysk przy u偶yciu Eksploratora.
Wszystkim plikom stworzonym przez trojana przypisywane s膮 atrybuty "ukryty" i "tylko do odczytu".
Je艣li oprogramowanie antywirusowe zainstalowane na twoim komputerze nie jest aktualne lub nie korzystasz z 偶adnego rozwi膮zania antywirusowego, w celu usuni臋cia szkodnika z zainfekowanego systemu wykonaj nast臋puj膮ce operacje:
- U偶yj Mened偶era zada艅 w celu zako艅czenia oryginalnego procesu trojana.
- Usu艅 nast臋puj膮cy klucz rejestru systemowego:
[HKLMSoftwareMicrosoftInternet Explorerinet.]
"Day" = "(data uruchomienia trojana)" - Usu艅 nast臋puj膮c膮 warto艣膰 parametru klucza rejestru:
[HKCUSoftwareMicrosoftWindows NTCurrentVersionWindows]
"load" = "%System%inetsrvlsass.exe" - Usu艅 oryginalny plik trojana (lokalizacja b臋dzie zale偶a艂a od sposobu przenikni臋cia programu do zaatakowanego komputera).
- Usu艅 nast臋puj膮ce pliki:
%System%inetsrvlsass.exe
:MSOCache90000804-6000-11D3-8CFE-0150048383C9lsass.exe :autorun.inf - Uaktualnij sygnatury zagro偶e艅 i wykonaj pe艂ne skanowanie komputera (w tym celu mo偶na pobra膰 darmow膮 wersj臋 testow膮 oprogramowania Kaspersky Anti-Virus).