Trojan-Downloader.Win32.Banload.dcd

Trojan ten pobiera inne pliki za po艣rednictwem Internetu i uruchamia je w celu wykonania na zainfekowanej maszynie bez wiedzy czy zgody u偶ytkownika. Ma posta膰 pliku PE EXE o rozmiarze 113152 bajt贸w. Nie zosta艂 w 偶aden spos贸b spakowany. Trojan ten powsta艂 w j臋zyku programowania Visual Basic.

Instalacja

Po uruchomieniu trojan kopiuje swoje cia艂o do foldera plik贸w program贸w Windows jako "lsass.exe":

%Program Files%Microsoft Studio Fileslsass.exe

W celu zapewnienia sobie automatycznego uruchamiania si臋 wraz z ka偶dym restartem systemu trojan rejestruje sw贸j plik wykonywalny w rejestrze systemowym:

[HKCUSoftwareMicrosoftWindowsCurrentVersionRun]
"lsass" = "%Program Files%Microsoft Studio Fileslsass.exe"

W tym samym folderze trojan tworzy nast臋pnie plik interpretatora polece艅 o nazwie "vcdg.bat":

%Program Files%Microsoft Studio Filesvcdg.bat

Zapisuje do tego pliku nast臋puj膮ce ci膮gi:

netsh.exe firewall add allowedprogram PROGRAM="%Program Files%Microsoft Studio 
Fileslsass.exe" NAME="Session Win32" MODE=ENABLE PROFILE=ALL

W ten spos贸b trojan modyfikuje konfiguracj臋 zapory Windows XP, zezwalaj膮c na wszelk膮 aktywno艣膰 sieciow膮 wygenerowan膮 przez szkodliwy proces.

"%Program Files%Microsoft Studio Filesvcdg.bat" jest nast臋pnie uruchamiany w celu wykonania.

Funkcje szkodnika

Po instalacji trojan pobiera pliki z nast臋puj膮cych adres贸w URL:

http://www.club-vw.cl/*****/modules/subsmanager/api_apache.tar
http://www.*****-consult.net/rcss.res
http://www.photo-*****.ru/images/exhibition_moll2005_file0031.jpg

W momencie tworzenia tego opisu, odsy艂acze te nie by艂y aktywne.

http://www.cemm*****ac.at/img/nav/plus19a_RO.jpg

Plik ten ma rozmiar 2603325 bajt贸w. Oprogramowanie Kaspersky Anti-Virus wykrywa go jako Trojan-Spy.Win32.Banbra.bak.

Pobrane pliki s膮 zapisywane do foldera instalacyjnego trojana z losowymi nazwami i uruchamiane w celu wykonania.

Usuwanie szkodnika z zainfekowanego systemu

Je艣li oprogramowanie antywirusowe zainstalowane na twoim komputerze nie jest aktualne lub nie korzystasz z 偶adnego rozwi膮zania antywirusowego, w celu usuni臋cia szkodnika z zainfekowanego systemu wykonaj nast臋puj膮ce operacje:

  1. U偶yj Mened偶era zada艅 w celu zako艅czenia procesu trojana.
  2. Usu艅 nast臋puj膮cy parametr klucza rejestru systemowego:

    [HKCUSoftwareMicrosoftWindowsCurrentVersionRun]
    "lsass" = "%Program Files%Microsoft Studio Fileslsass.exe"

  3. Usu艅 oryginalny plik trojana (lokalizacja b臋dzie zale偶a艂a od sposobu przenikni臋cia programu do zaatakowanego komputera).
  4. Usu艅 nast臋puj膮cy folder i jego zawarto艣膰:
    %Program Files%Microsoft Studio Files
    
  5. Usu艅 wszystkie pliki z %Temporary Internet Files%.
  6. Uaktualnij sygnatury zagro偶e艅 i wykonaj pe艂ne skanowanie komputera (w tym celu mo偶na pobra膰 darmow膮 wersj臋 testow膮 oprogramowania Kaspersky Anti-Virus).