Trojan-Downloader.VBS.Agent.fe
Po uruchomieniu trojan deszyfruje si臋 i wstrzykuje sw贸j kod do pami臋ci procesu z nast臋puj膮cym muteksem w rejestrze systemowym:
{BD96C556-65A3-11D0-983A-00C04FC29E36}
Trojan wykorzystuje luk臋 w zabezpieczeniach komponentu ActiveX XMLHTTP w celu pobrania pliku z nast臋puj膮cego adresu URL:
http://shengyang.tacocity.com.tw/*****/b14.jpg
Plik ten ma rozmiar 87040 bajt贸w. B臋dzie wykrywany przez oprogramowanie Kaspersky Anti-Virus jako Trojan-PSW.Win32.OnLineGames.ixi.
Trojan wykorzystuje luk臋 w zabezpieczeniach komponentu “ADODB.Stream” ActiveX w celu zapisania pliku w folderze tymczasowym systemu Windows bie偶膮cego u偶ytkownika jako “svchovt.exe”:
%Temp%svchovt.com
Plik ten jest nast臋pnie zapisywany na dysku C: z nast臋puj膮c膮 nazw膮:
C:oot.com
Trojan wykorzystuje nast臋pnie luk臋 w zabezpieczeniach spowodowan膮 b艂臋dem w sprawdzaniu danych przychodz膮cych w komponencie "EDraw.OfficeViewer" ActiveX podczas przetwarzania argument贸w z "HttpDownloadFile()" w celu pobrania pliku z powy偶szego adresu URL. Plik ten zostanie zapisany w nast臋puj膮cy spos贸b:
C: est.exe
Trojan wykorzystuje nast臋pnie luk臋 w zabezpieczeniach funkcji setSlice0 w komponencie "WebViewFolderIcon" ActiveX w celu spowodowania przepe艂nienia bufora oraz pobrania pliku z nast臋puj膮cego adresu URL:
http://www.livehome.com.tw/*****/a.jpg
Plik ten ma rozmiar 88044 bajt贸w. B臋dzie wykrywany przez oprogramowanie Kaspersky Anti-Virus jako Trojan-PSW.Win32.OnLineGames.ixi.
Plik ten zostanie zapisany do foldera systemu Windows jako “a.exe”:
%System%a.exe
Pobrane pliki s膮 nast臋pnie uruchamiane w celu wykonania.
Je艣li oprogramowanie antywirusowe zainstalowane na twoim komputerze nie jest aktualne lub nie korzystasz z 偶adnego rozwi膮zania antywirusowego, w celu usuni臋cia szkodnika z zainfekowanego systemu wykonaj nast臋puj膮ce operacje:
- Usu艅 oryginalny plik trojana (lokalizacja b臋dzie zale偶a艂a od sposobu przenikni臋cia programu do zaatakowanego komputera).
- Usu艅 nast臋puj膮ce pliki:
%Temp%svchovt.com C:oot.com C: est.exe %System%a.exe
- Usu艅 wszystkie pliki z %Temporary Internet Files%.
- Wy艂膮cz ActiveX.
- Uaktualnij sygnatury zagro偶e艅 i wykonaj pe艂ne skanowanie komputera (w tym celu mo偶na pobra膰 darmow膮 wersj臋 testow膮 oprogramowania Kaspersky Anti-Virus).