Trojan.Win32.Agent.azsy
Po uruchomieniu trojan kopiuje swoje cia艂o do foldera startowego systemu Windows:
%Documents and Settings%Main MenuProgramsStartupuninstall.exe
Po powt贸rnym uruchomieniu zaatakowanej maszyny trojan wypakowuje ze swojego cia艂a plik. Plik b臋dzie mia艂 jedn膮 z poni偶szych nazw:
%Documents and Settings%Application Datasvchosts.exe %Documents and Settings% Application Data askmon.exe %Documents and Settings% Application Data undll.exe %Documents and Settings% Application Dataservice.exe %Documents and Settings% Application Datasound.exe %Documents and Settings% Application Dataupnpsvc.exe %Documents and Settings% Application Datalsas.exe %Documents and Settings% Application Datalogon.exe %Documents and Settings% Application Datahelper.exe %Documents and Settings% Application Dataevent.exe %Documents and Settings% Application Datadumpreport.exe %Documents and Settings% Application Datamsiexeca.exe
Rozmiar pliku wynosi 404992 bajt贸w. Jest wykrywany przez oprogramowanie Kaspersky Anti-Virus jako Trojan-Downloader.Win32.Agent.aoth.
Aby zapewni膰 sobie automatyczne uruchamianie si臋 wraz z ka偶dym restartem systemu operacyjnego, trojan umieszcza odsy艂acz do rozpakowanego przez siebie pliku w rejestrze systemowym:
"<rnd1>" = "<rnd2>"
<rnd1> jest nazw膮 wybieran膮 z poni偶szej listy:
CrashDump EventLog Init lsass Regscan RunDll Setup Sound svchosts System TaskMon UPNP Windows
<rnd> jest 艣cie偶k膮 do pliku wypakowanego z trojana znajduj膮cego si臋 na li艣cie wy偶ej.
Po tym, jak trojan dostarczy swoj膮 szkodliw膮 funkcj臋, usunie zar贸wno swoje cia艂o jak i swoj膮 kopi臋 "%Documents and Settings%\Main MenuProgramsStartupuninstall.exe".
Trojan ten nie b臋dzie dzia艂a艂 w rosyjskich wersjach systemu Windows.
Je艣li oprogramowanie antywirusowe zainstalowane na twoim komputerze nie jest aktualne lub nie korzystasz z 偶adnego rozwi膮zania antywirusowego, w celu usuni臋cia szkodnika z zainfekowanego systemu wykonaj nast臋puj膮ce operacje:
- U偶yj Mened偶era zada艅 w celu zako艅czenia procesu trojana.
- Usu艅 nast臋puj膮cy klucz rejestru systemowego:
[HKCUSoftwareMicrosoftWindowsCurrentVersionRun]
"<rnd1>" = "<rnd2>"
- Usu艅 oryginalny plik trojana (lokalizacja b臋dzie zale偶a艂a od sposobu przenikni臋cia programu do zaatakowanego komputera).
- Usu艅 nast臋puj膮ce pliki:
%Documents and Settings%
Application Datasvchosts.exe %Documents and Settings% Application Data askmon.exe %Documents and Settings% Application Data undll.exe %Documents and Settings% Application Dataservice.exe %Documents and Settings% Application Datasound.exe %Documents and Settings% Application Dataupnpsvc.exe %Documents and Settings% Application Datalsas.exe %Documents and Settings% Application Datalogon.exe %Documents and Settings% Application Datahelper.exe %Documents and Settings% Application Dataevent.exe %Documents and Settings% Application Datadumpreport.exe %Documents and Settings% Application Datamsiexeca.exe - Usu艅 wszystkie pliki z %Temporary Internet Files%.
- Uaktualnij sygnatury zagro偶e艅 i wykonaj pe艂ne skanowanie komputera (w tym celu mo偶na pobra膰 darmow膮 wersj臋 testow膮 oprogramowania Kaspersky Anti-Virus).