Trojan-Downloader.Win32.Small.bah

Trojan ten ma posta膰 pliku PE EXE o rozmiarze oko艂o 27KB.

Instalacja

Po uruchomieniu trojan kopiuje sw贸j plik wykonywalny do foldera systemu Windows:

%System%NTdhcp.exe

Aby zapewni膰 sobie automatyczne uruchamianie si臋 wraz z ka偶dym startem systemu, trojan dodaje odsy艂acz do swojego pliku wykonywalnego w rejestrze systemowym:

[HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun]
"NTdhcp" = "%System%NTdhcp.exe"

Po zainstalowaniu trojan usuwa sw贸j oryginalny plik wykonywalny.

Funkcje szkodnika

Trojan wy艂膮cza ochron臋 antywirusow膮 na zaatakowanej maszynie poprzez:

  • wy艂膮czanie us艂ug o nast臋puj膮cych nazwach:
    RsRavMon
    RsCCenter
    Kavsvc
    KVSrvXP
    Wscsvc
    KPfwSvc
    KwatchSvc
    SNDSrvc
    ccProxy
    ccEvtMgr
    ccSetMgr
    SPBBCSvc
    Symantec Core LC
    Navapsvc
    NPFMntor
    MskService
    FireSvc
    McShield
    McTaskManager
    McAfeeFramework
    
  • usuwanie z nast臋puj膮cego klucza rejestru:

    [HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun]

    parametr贸w z poni偶szymi nazwami:

    KAVPersonal50
    RavMon
    RavTimer
    KvMonXP
    iDuba Personal FireWall
    KAVRun
    KpopMon
    Kulansyn
    KavPFW
    ccApp
    SSC_UserPrompt
    NAV CfgWiz
    MCAgentExe
    McRegWiz
    MCUpdateExe
    MSKAGENTEXE
    MSKDetectorExe
    VirusScan Online
    VSOCheckTask
    McAfeeUpdaterUI
    ShStatEXE
    VSOCheckTask
    KavStart
    Services
    KWatch9x
    Csoftok
    explor.exe
    windos
    
  • zamykanie nast臋puj膮cych proces贸w:
    FireTray.exe
    UpdaterUI.exe
    TBMon.exe
    SHSTAT.EXE
    RAV.EXE
    RAVMON.EXE
    RAVTIMER.EXE
    KVXP.KXP
    KVCENTER.KXP
    Iparmor.exe
    MAILMON.EXE
    KAVPFW.EXE
    KmailMon.EXE
    KAVStart.exe
    KATMain.EXE
    TrojanDetector.EXE
    KVFW.EXE
    KVMonXP.KXP
    KAVPLUS.EXE
    KWATCHUI.EXE
    KPOPMON.EXE
    KAV32.EXE
    CCAPP.EXE
    MCAGENT.EXE
    MCVSESCN.EXE
    MSKAGENT.EXE
    EGHOST.EXE
    KRegEx.exe
    TrojDie.kxp
    KVOL.exe
    kvolself.exe
    KWatch9x.exe
    SOFTOK.EXE
    explor.exe
    windox.exe
    

Trojan przechwytuje dane konta QQMessenger. Skanuje system w celu znalezienia okien logowania zwi膮zanych z tym programem. Po znalezieniu takich okien przechwytuje tekst wprowadzany do plik贸w i zapisuje je w nast臋puj膮cym pliku logowania:

%WinDir%Mediachord.waz

Plik dziennika b臋dzie okresowo wysy艂any zdalnemu szkodliwemu u偶ytkownikowi za po艣rednictwem poczty elektronicznej.

Usuwanie szkodnika z zainfekowanego systemu

Je艣li oprogramowanie antywirusowe zainstalowane na twoim komputerze nie jest aktualne lub nie korzystasz z 偶adnego rozwi膮zania antywirusowego, w celu usuni臋cia szkodnika z zainfekowanego systemu wykonaj nast臋puj膮ce operacje:

  1. U偶yj Mened偶era zada艅 w celu zako艅czenia procesu szkodliwego programu.
  2. Usu艅 nast臋puj膮cy parametr klucza rejestru systemowego:

    [HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun]
    "NTdhcp" = "%System%NTdhcp.exe"

  3. Usu艅 nast臋puj膮ce pliki:
    %System%NTdhcp.exe
    %WinDir%Mediachord.waz
    
  4. Uaktualnij sygnatury zagro偶e艅 i wykonaj pe艂ne skanowanie komputera (w tym celu mo偶na pobra膰 darmow膮 wersj臋 testow膮 oprogramowania Kaspersky Anti-Virus).
ProcKill-CT (McAfee),   PWSteal.Trojan (Symantec),   Trojan.PWS.Qqrobber.16 (Doctor Web),   TROJ_QQROB.R (Trend Micro),   TR/Gamect.A (H+BEDV),   Trojan.Downloader.Agent.PD (SOFTWIN),   Trojan.Downloader.Small-582 (ClamAV),   Trj/QQRob.Z (Panda),   Win32/TrojanDownloader.Agent.PD (Eset)