Trojan-Downloader.Win32.Zanoza.gi

Trojan ten pobiera inne szkodliwe programy na zaatakowan膮 maszyn臋 za po艣rednictwem Internetu i uruchamia je w celu wykonania bez wiedzy czy zgody u偶ytkownika. Ma posta膰 pliku PE EXE o rozmiarze 1893 bajt贸w (kompresja FSG, rozmiar po rozpakowaniu - oko艂o 14KB). Powsta艂 w j臋zyku programowania C++.

Funkcje szkodnika

Po uruchomieniu trojan uruchamia proces systemowy o nazwie "svchost.exe" i wstrzykuje sw贸j kod do przestrzeni adresowej tego procesu. Kod trojana pobiera cztery pliki z nast臋puj膮cych odsy艂aczy:

http://www.yvon-publicidad.com/images/images*****
http://www.yvon-publicidad.com/images/images*****
http://www.yvon-publicidad.com/images/images*****
http://www.yvon-publicidad.com/images/images*****

Z odsy艂aczy tych pobierane s膮 szkodliwe programy z nast臋puj膮cych rodzin:

Email-Worm.Win32.Bagle
Trojan-Downloader.Win32.Agent
Trojan-Downloader.Win32.Bagle
Trojan-Downloader.Win32.Zanoza
Trojan-Proxy.Win32.Daemonize
Trojan-Proxy.Win32.Mitglieder
Trojan-Spy.Win32.Iespy

Pobrane pliki zostan膮 zapisane do foldera roboczego trojana z nast臋puj膮cymi nazwami:

%WorkDir%chkdsk1.exe
%WorkDir%chkdsk2.exe
%WorkDir%chkdsk3.exe
%WorkDir%chkdsk4.exe

Nast臋pnie trojan uruchamia te pliki w celu wykonania, tworzy plik wsadowy w folderze roboczym, uruchamia go w celu wykonania, a nast臋pie ko艅czy dzia艂anie. Plik ten usuwa oryginalny plik trojana, pobrany plik oraz siebie.

Usuwanie szkodnika z zainfekowanego systemu

Je艣li oprogramowanie antywirusowe zainstalowane na twoim komputerze nie jest aktualne lub nie korzystasz z 偶adnego rozwi膮zania antywirusowego, w celu usuni臋cia szkodnika z zainfekowanego systemu wykonaj nast臋puj膮ce operacje:

  1. Uaktualnij sygnatury zagro偶e艅 i wykonaj pe艂ne skanowanie komputera (w tym celu mo偶na pobra膰 darmow膮 wersj臋 testow膮 oprogramowania Kaspersky Anti-Virus).