Trojan-Downloader.Win32.Small.bah
Po uruchomieniu trojan kopiuje sw贸j plik wykonywalny do foldera systemu Windows:
%System%NTdhcp.exe
Aby zapewni膰 sobie automatyczne uruchamianie si臋 wraz z ka偶dym startem systemu, trojan dodaje odsy艂acz do swojego pliku wykonywalnego w rejestrze systemowym:
"NTdhcp" = "%System%NTdhcp.exe"
Po zainstalowaniu trojan usuwa sw贸j oryginalny plik wykonywalny.
Trojan wy艂膮cza ochron臋 antywirusow膮 na zaatakowanej maszynie poprzez:
- wy艂膮czanie us艂ug o nast臋puj膮cych nazwach:
RsRavMon RsCCenter Kavsvc KVSrvXP Wscsvc KPfwSvc KwatchSvc SNDSrvc ccProxy ccEvtMgr ccSetMgr SPBBCSvc Symantec Core LC Navapsvc NPFMntor MskService FireSvc McShield McTaskManager McAfeeFramework
- usuwanie z nast臋puj膮cego klucza rejestru:
[HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun] parametr贸w z poni偶szymi nazwami:
KAVPersonal50 RavMon RavTimer KvMonXP iDuba Personal FireWall KAVRun KpopMon Kulansyn KavPFW ccApp SSC_UserPrompt NAV CfgWiz MCAgentExe McRegWiz MCUpdateExe MSKAGENTEXE MSKDetectorExe VirusScan Online VSOCheckTask McAfeeUpdaterUI ShStatEXE VSOCheckTask KavStart Services KWatch9x Csoftok explor.exe windos
- zamykanie nast臋puj膮cych proces贸w:
FireTray.exe UpdaterUI.exe TBMon.exe SHSTAT.EXE RAV.EXE RAVMON.EXE RAVTIMER.EXE KVXP.KXP KVCENTER.KXP Iparmor.exe MAILMON.EXE KAVPFW.EXE KmailMon.EXE KAVStart.exe KATMain.EXE TrojanDetector.EXE KVFW.EXE KVMonXP.KXP KAVPLUS.EXE KWATCHUI.EXE KPOPMON.EXE KAV32.EXE CCAPP.EXE MCAGENT.EXE MCVSESCN.EXE MSKAGENT.EXE EGHOST.EXE KRegEx.exe TrojDie.kxp KVOL.exe kvolself.exe KWatch9x.exe SOFTOK.EXE explor.exe windox.exe
Trojan przechwytuje dane konta QQMessenger. Skanuje system w celu znalezienia okien logowania zwi膮zanych z tym programem. Po znalezieniu takich okien przechwytuje tekst wprowadzany do plik贸w i zapisuje je w nast臋puj膮cym pliku logowania:
%WinDir%Mediachord.waz
Plik dziennika b臋dzie okresowo wysy艂any zdalnemu szkodliwemu u偶ytkownikowi za po艣rednictwem poczty elektronicznej.
Je艣li oprogramowanie antywirusowe zainstalowane na twoim komputerze nie jest aktualne lub nie korzystasz z 偶adnego rozwi膮zania antywirusowego, w celu usuni臋cia szkodnika z zainfekowanego systemu wykonaj nast臋puj膮ce operacje:
- U偶yj Mened偶era zada艅 w celu zako艅czenia procesu szkodliwego programu.
- Usu艅 nast臋puj膮cy parametr klucza rejestru systemowego:
[HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun]
"NTdhcp" = "%System%NTdhcp.exe" - Usu艅 nast臋puj膮ce pliki:
%System%NTdhcp.exe %WinDir%Mediachord.waz
- Uaktualnij sygnatury zagro偶e艅 i wykonaj pe艂ne skanowanie komputera (w tym celu mo偶na pobra膰 darmow膮 wersj臋 testow膮 oprogramowania Kaspersky Anti-Virus).