Trojan-Downloader.VBS.Psyme.io
Po uruchomieniu trojan deszyfruje si臋 i wstrzykuje sw贸j kod do pami臋ci procesu, kt贸ry posiada nast臋puj膮cy muteks w rejestrze systemowym:
{BD96C556-65A3-11D0-983A-00C04FC29E36}
Trojan wykorzystuje luk臋 w zabezpieczeniach komponentu ActiveX XMLHTTP w celu pobrania pliku z nast臋puj膮cego adresu URL:
http://world*****.net/lese.exe
W momencie tworzenia tego opisu plik umieszczony w tym odsy艂aczu mia艂 rozmiar 21332 bajt贸w i by艂 wykrywany przez oprogramowanie Kaspersky Anti-Virus jako Trojan-Downloader.Win32.Baser.aw.
Trojan wykorzystuje luk臋 w zabezpieczeniach komponentu “ADODB.Stream” ActiveX, aby zapisa膰 plik w folderze tymczasowym systemu Windows u偶ytkownika tymczasowego jako “g0ld.com”:
%Temp%g0ld.com
Pobrany plik jest nast臋pnie uruchamiany w celu wykonania.
Je艣li oprogramowanie antywirusowe zainstalowane na twoim komputerze nie jest aktualne lub nie korzystasz z 偶adnego rozwi膮zania antywirusowego, w celu usuni臋cia szkodnika z zainfekowanego systemu wykonaj nast臋puj膮ce operacje:
- Usu艅 oryginalny plik trojana (lokalizacja b臋dzie zale偶a艂a od sposobu przenikni臋cia programu do zaatakowanego komputera).
- Usu艅 nast臋puj膮cy plik:
%Temp%g0ld.com
- Usu艅 wszystkie pliki z %Temporary Internet Files%.
- Wy艂膮cz uruchamianie obiektu ActiveX w Internet Explorerze.
- Uaktualnij sygnatury zagro偶e艅 i wykonaj pe艂ne skanowanie komputera (w tym celu mo偶na pobra膰 darmow膮 wersj臋 testow膮 oprogramowania Kaspersky Anti-Virus).