Trojan-Downloader.VBS.Small.ev

Trojan ten pobiera inne szkodliwe pliki za po艣rednictwem Internetu i uruchamia je w celu wykonania na zaatakowanej maszynie bez wiedzy czy zgody u偶ytkownika. Ma posta膰 strony HTML. Jego rozmiar to 2109 bajt贸w.

Usuwanie szkodnika z zainfekowanego systemu

Je艣li oprogramowanie antywirusowe zainstalowane na twoim komputerze nie jest aktualne lub nie korzystasz z 偶adnego rozwi膮zania antywirusowego, w celu usuni臋cia szkodnika z zainfekowanego systemu wykonaj nast臋puj膮ce operacje:

{BD96C556-65A3-11D0-983A-00C04FC29E36}

Trojan wykorzystuje luk臋 w zabezpieczeniu komponenta ActiveX XMLHTTP w celu pobierania pliku z nast臋puj膮cego adresu URL:

http://cool*****55.com/vvv/rss.dll

W momencie tworzenia opisu tego szkodnika plik umieszczony w tym odsy艂aczu mia艂 rozmiar 5120 bajt贸w i wykrywany by艂 przez oprogramowanie Kaspersky Anti-Virus jako Trojan-PSW.Win32.OnLineGames.ccd.

Trojan wykorzystuje luk臋 w zabezpieczeniach komponentu “ADODB.Stream” ActiveX, aby zapisa膰 plik w folderze systemu Windows u偶ytkownika bie偶膮cego w nast臋puj膮cy spos贸b:

%WinDir%WinHttp.dll
%WinDir%KB726255.log

Trojan tworzy nast臋puj膮ce warto艣ci parametr贸w rejestru systemowego:

[HKLMSoftwareClassesCLSID{36CD708B-6077-4C02-9377-D73EAA495A0F}]
"(default)" = "HTTP Execute Hooks"
[HKLMSoftwareClassesCLSID{36CD708B-6077-4C02-9377-
D73EAA495A0F}InprocServer32]
"(default)" = "%WinDir%WinHttp.dll"
[HKLMSoftwareClassesCLSID{36CD708B-6077-4C02-9377-
D73EAA495A0F}InprocServer32]
"ThreadingModel" = "Apartment"
[HKLMSoftwareMicrosoftWindowsCurrentVersionExplorerShellExecuteHooks{36CD7
08B-6077-4C02-9377-D73EAA495A0F}]
"(default)" = ""

Usuwanie szkodnika z zainfekowanego systemu

Je艣li oprogramowanie antywirusowe zainstalowane na twoim komputerze nie jest aktualne lub nie korzystasz z 偶adnego rozwi膮zania antywirusowego, w celu usuni臋cia szkodnika z zainfekowanego systemu wykonaj nast臋puj膮ce operacje:

  1. Usu艅 oryginalny plik trojana (lokalizacja b臋dzie zale偶a艂a od sposobu przenikni臋cia programu do zaatakowanego komputera).
  2. Usu艅 nast臋puj膮ce pliki:
    %WinDir%WinHttp.dll
    %WinDir%KB726255.log
    
  3. Usu艅 nast臋puj膮ce klucze rejestru systemowego:

    [HKLMSoftwareClassesCLSID{36CD708B-6077-4C02-9377-D73EAA495A0F}]
    [HKLMSoftwareMicrosoftWindowsCurrentVersionExplorerShellExecuteHooks{36CD708B-
    6077-4C02-9377-D73EAA495A0F}]

  4. Usu艅 wszystkie pliki z %Temporary Internet Files%.
  5. Wy艂膮cz dzia艂anie ActiveX w Internet Explorerze.
  6. Uaktualnij sygnatury zagro偶e艅 i wykonaj pe艂ne skanowanie komputera (w tym celu mo偶na pobra膰 darmow膮 wersj臋 testow膮 oprogramowania Kaspersky Anti-Virus).