Trojan.Win32.Agent.azsy

Szkodnik ten jest trojanem. Ma posta膰 pliku PE EXE o rozmiarze 417792 bajt贸w (kompresja UPX, rozmiar po rozpakowaniu - oko艂o 439KB). Pogram powsta艂 w j臋zyku programowania C++.

Instalacja

Po uruchomieniu trojan kopiuje swoje cia艂o do foldera startowego systemu Windows:

%Documents and Settings%Main MenuProgramsStartupuninstall.exe

Funkcje szkodnika

Po powt贸rnym uruchomieniu zaatakowanej maszyny trojan wypakowuje ze swojego cia艂a plik. Plik b臋dzie mia艂 jedn膮 z poni偶szych nazw:

%Documents and Settings%Application Datasvchosts.exe
%Documents and Settings%Application Data	askmon.exe
%Documents and Settings%Application Data
undll.exe
%Documents and Settings%Application Dataservice.exe
%Documents and Settings%Application Datasound.exe
%Documents and Settings%Application Dataupnpsvc.exe
%Documents and Settings%Application Datalsas.exe
%Documents and Settings%Application Datalogon.exe
%Documents and Settings%Application Datahelper.exe
%Documents and Settings%Application Dataevent.exe
%Documents and Settings%Application Datadumpreport.exe
%Documents and Settings%Application Datamsiexeca.exe

Rozmiar pliku wynosi 404992 bajt贸w. Jest wykrywany przez oprogramowanie Kaspersky Anti-Virus jako Trojan-Downloader.Win32.Agent.aoth.

Aby zapewni膰 sobie automatyczne uruchamianie si臋 wraz z ka偶dym restartem systemu operacyjnego, trojan umieszcza odsy艂acz do rozpakowanego przez siebie pliku w rejestrze systemowym:

[HKCUSoftwareMicrosoftWindowsCurrentVersionRun]
"<rnd1>" = "<rnd2>"

<rnd1> jest nazw膮 wybieran膮 z poni偶szej listy:

CrashDump
EventLog
Init
lsass
Regscan
RunDll
Setup
Sound
svchosts
System
TaskMon
UPNP
Windows

<rnd> jest 艣cie偶k膮 do pliku wypakowanego z trojana znajduj膮cego si臋 na li艣cie wy偶ej.

Po tym, jak trojan dostarczy swoj膮 szkodliw膮 funkcj臋, usunie zar贸wno swoje cia艂o jak i swoj膮 kopi臋 "%Documents and Settings%\Main MenuProgramsStartupuninstall.exe".

Trojan ten nie b臋dzie dzia艂a艂 w rosyjskich wersjach systemu Windows.

Usuwanie szkodnika z zainfekowanego systemu

Je艣li oprogramowanie antywirusowe zainstalowane na twoim komputerze nie jest aktualne lub nie korzystasz z 偶adnego rozwi膮zania antywirusowego, w celu usuni臋cia szkodnika z zainfekowanego systemu wykonaj nast臋puj膮ce operacje:

  1. U偶yj Mened偶era zada艅 w celu zako艅czenia procesu trojana.
  2. Usu艅 nast臋puj膮cy klucz rejestru systemowego:

    [HKCUSoftwareMicrosoftWindowsCurrentVersionRun]

    "<rnd1>" = "<rnd2>"

  3. Usu艅 oryginalny plik trojana (lokalizacja b臋dzie zale偶a艂a od sposobu przenikni臋cia programu do zaatakowanego komputera).
  4. Usu艅 nast臋puj膮ce pliki:
    %Documents and Settings%Application Datasvchosts.exe
    %Documents and Settings%Application Data	askmon.exe
    %Documents and Settings%Application Data
    undll.exe
    %Documents and Settings%Application Dataservice.exe
    %Documents and Settings%Application Datasound.exe
    %Documents and Settings%Application Dataupnpsvc.exe
    %Documents and Settings%Application Datalsas.exe
    %Documents and Settings%Application Datalogon.exe
    %Documents and Settings%Application Datahelper.exe
    %Documents and Settings%Application Dataevent.exe
    %Documents and Settings%Application Datadumpreport.exe
    %Documents and Settings%Application Datamsiexeca.exe
    
  5. Usu艅 wszystkie pliki z %Temporary Internet Files%.
  6. Uaktualnij sygnatury zagro偶e艅 i wykonaj pe艂ne skanowanie komputera (w tym celu mo偶na pobra膰 darmow膮 wersj臋 testow膮 oprogramowania Kaspersky Anti-Virus).