Trojan.Win32.Agent.dcc

Instalacja

Po uruchomieniu trojan kopiuje sw贸j plik wykonywalny w poni偶szy spos贸b:

%System%drivers
untime.sys

W celu zapewnienia sobie uruchamiania si臋 wraz z ka偶dym startem systemu trojan tworzy us艂ug臋 systemow膮 o nazwie "Runtime", kt贸ra uruchamia plik wykonywalny trojana wraz z ka偶dym uruchomieniem systemu Windows. Utworzony zostanie nast臋puj膮cy klucz rejestru:

[HKLMSystemCurrentControlSetServices untime]

Po zainstalowaniu trojan usuwa sw贸j oryginalny plik.

Trojan posiada szkodliw膮 funkcj臋. Ma posta膰 pliku PE EXE o rozmiarze 20480 bajt贸w.

Funkcje szkodnika

Trojan zawiera modu艂 rootkita, kt贸ry maskuje obecno艣膰 plik贸w trojana na dysku twardym, jak r贸wnie偶 obecno艣膰 poni偶szych plik贸w:

%System%
toskrnl.exe
%System%
tkrnlpa.exe
%System%
tkrnlmp.exe
%System%
tkrpamp.exe

Ponadto maskuje obecno艣膰 proces贸w zwi膮zanych z tymi plikami.

Trojan uruchamia r贸wnie偶 ukryty proces o nazwie "iexplore.exe". Szkodnik wstrzykuje sw贸j do tego procesu sw贸j, kt贸ry pobiera pliki z poni偶szych adres贸w:

208.66.194.*** 
66.246.252.*** 
208.66.195.*** 
74.53.42.*** 
74.53.42.*** 

Pobrane pliki zostan膮 zapisane w nast臋puj膮cy spos贸b:

%TEMP%(rnd).exe

przy czym (rnd) oznacza losow膮 sekwencj臋 liczb.

Po tym, jak zostan膮 pobrane, pliki te zostan膮 uruchomione w celu wykonania.

Usuwanie szkodnika z zainfekowanego systemu

Je艣li oprogramowanie antywirusowe zainstalowane na twoim komputerze nie jest aktualne lub nie korzystasz z 偶adnego rozwi膮zania antywirusowego, w celu usuni臋cia szkodnika z zainfekowanego systemu wykonaj nast臋puj膮ce operacje:

  1. U偶yj Mened偶era zada艅 w celu zako艅czenia procesu szkodliwego programu.
  2. Usu艅 nast臋puj膮cy klucz rejestru systemowego:

    [HKLMSystemCurrentControlSetServices untime]

  3. Usu艅 nast臋puj膮cy plik:
    %System%drivers
    untime.sys
    
  4. Usu艅 zawarto艣膰 %Temp%
  5. Uaktualnij sygnatury zagro偶e艅 i wykonaj pe艂ne skanowanie komputera (w tym celu mo偶na pobra膰 darmow膮 wersj臋 testow膮 oprogramowania Kaspersky Anti-Virus).