Trojan-Proxy.Win32.Agent.qm

Trojan ten umo偶liwia zdalnemu szkodliwemu u偶ytkownikowi wykorzystanie zaatakowanej maszyny jako serwer proxy bez wiedzy u偶ytkownika. Ma posta膰 pliku pomocy Windows o rozmiarze 29548 bajt贸w.

Instalacja

Podczas otwierania zainfekowanego pliku u偶ytkownikowi ukazuje si臋 nast臋puj膮ce okno:

W tym samym czasie plik o nazwie "notepad.exe" i rozmiarze 41984 bajt贸w jest wypakowywany do nast臋puj膮cego foldera, a nast臋pnie uruchamiany w celu wykonania:

%Documents and Settings%UserLocal SettingsTemporary Internet FilesContent.IE5

Podczas uruchamiania plik ten wypakowuje ze swojego cia艂a plik .dll o rozmiarze 28672:

%System%miprip.dll 

Nast臋pnie trojan rejestruje us艂ug臋 systemow膮 o nazwie "iprip", kt贸ra automatycznie 艂aduje wypakowany plik .dll wraz z ka偶dym startem systemu Windows na zaatakowanej maszynie. Ponadto tworzony jest nast臋puj膮cy klucz rejestru:

[HKLMSYSTEMCurrentControlSetServicesIprip]

Funkcje szkodnika

Trojan uruchamia serwer proxy HTTP na porcie TCP numer 80 na lokalnej maszynie. W tym celu modyfikuje konfiguracj臋 przegl膮darki Internet Explorer, tak aby zezwoli膰 na wykorzystywanie serwera proxy. Adres lokalnej maszyny jest podany jako adres serwera proxy.

Gdy na zaatakowanej maszynie otwierany jest dowolny adres URL, trojan przekierowuje 偶膮danie do strony zdalnego szkodliwego u偶ytkownika. Pozwala to zdalnemu szkodliwemu u偶ytkownikowi na przechwytywanie i analizowanie ruchu internetowego u偶ytkownika.

Usuwanie szkodnika z zainfekowanego systemu

Je艣li oprogramowanie antywirusowe zainstalowane na twoim komputerze nie jest aktualne lub nie korzystasz z 偶adnego rozwi膮zania antywirusowego, w celu usuni臋cia szkodnika z zainfekowanego systemu wykonaj nast臋puj膮ce operacje:

  1. U偶yj Mened偶era zada艅 w celu zako艅czenia oryginalnego procesu trojana.
  2. Usu艅 oryginalny plik trojana (lokalizacja b臋dzie zale偶a艂a od sposobu przenikni臋cia programu do zaatakowanego komputera).
  3. Usu艅 nast臋puj膮cy klucz rejestru systemowego:

    [HKLMSYSTEMCurrentControlSetServicesIprip]

  4. Usu艅 nast臋puj膮ce pliki:
    %System%miprip.dll
    %Documents and Settings%	estLocal SettingsTemporary Internet 
    FilesContent.IE5
    otepad.exe#
    
  5. Usu艅 zawarto艣膰 %Temporary Internet Files%.
  6. Uaktualnij sygnatury zagro偶e艅 i wykonaj pe艂ne skanowanie komputera (w tym celu mo偶na pobra膰 darmow膮 wersj臋 testow膮 oprogramowania Kaspersky Anti-Virus).