Trojan-Dropper.Win32.VB.tj

Celem tego trojana jest instalowanie i uruchamianie innych program贸w na zaatakowanej maszynie bez wiedzy czy zgody u偶ytkownika. Ma posta膰 pliku PE EXE o rozmiarze 89600 bajt贸w (kompresja UPX, rozmiar po rozpakowaniu - oko艂o 136KB). powsta艂 w j臋zyku programowania Visual Basic.

Funkcje szkodnika

Po uruchomieniu trojan wypakowuje ze swojego cia艂a plik o nazwie "KB860509.log" do foldera systemu Windows:

%WinDir%KB860509.log

Plik ten ma rozmiar 26624 bajt贸w. B臋dzie wykrywany przez oprogramowanie Kaspersky Anti-Virus jako Trojan-Clicker.Win32.VB.ss.

Zostanie zmieniona nazwa tego pliku. Now膮 nazw膮 pliku b臋dzie "msswchx.exe":

%WinDir%msswchx.exe

Nast臋pnie plik zostanie zainstalowany jako us艂uga systemowa.

Po uruchomieniu trojan wypakowuje ze swojego cia艂a plik o nazwie "wmpStatus.dll" do foldera systemu Windows:

%System%wmpStatus.dll

Plik ten ma rozmiar 55808 bajt贸w. B臋dzie wykrywany przez oprogramowanie Kaspersky Anti-Virus jako Trojan-Clicker.Win32.VB.up.

Plik ten zostanie nast臋pnie skopiowany do foldera systemowego jako "migload.exe":

%System%migload.exe

Nat臋pnie trojan wypakowuje ze swojego cia艂a plik o nazwie "boot.ini" do foldera systemu Windows:

%WinDir%oot.ini

Plik ten ma rozmiar 8192 bajt贸w. B臋dzie wykrywany przez oprogramowanie Kaspersky Anti-Virus jako Trojan-Clicker.Win32.VB.uo.

Nast臋pnie plik ten zostanie skopiowany do foldera systemowego jako "userinit.exe":

%WinDir%userinit.exe

Aby u偶ytkownikowi nie wy艣wietla艂o si臋 ostrze偶enie o niestandardowym j臋zyku na stronach otwieranych przez trojany zainstalowane w systemie, trojan dodaje nast臋puj膮cy klucz do rejestru systemowego:

[HKCUSoftwareMicrosoftInternet ExplorerInternational]
"AcceptLanguage"="zh-cn"

Po dostarczeniu swojej szkodliwej funkcji, oryginalny trojan usuwa swoje cia艂o.

Usuwanie szkodnika z zainfekowanego systemu

Je艣li oprogramowanie antywirusowe zainstalowane na twoim komputerze nie jest aktualne lub nie korzystasz z 偶adnego rozwi膮zania antywirusowego, w celu usuni臋cia szkodnika z zainfekowanego systemu wykonaj nast臋puj膮ce operacje:

  1. Usu艅 oryginalny plik trojana (lokalizacja b臋dzie zale偶a艂a od sposobu przenikni臋cia programu do zaatakowanego komputera).
  2. Usu艅 wszystkie pliki stworzone przez trojana:
    %WinDir%msswchx.exe %System%wmpStatus.dll %System%migload.exe %WinDir%oot.ini 
    %WinDir%userinit.exe
    
  3. Usu艅 nast臋puj膮ce klucze rejestru systemowego:

    [HKCUSoftwareMicrosoftInternet ExplorerInternational] "AcceptLanguage"="zh-
    cn" [HKLMSystem\EnumRootLEGACY_NETWSCSVC] [HKLMSystem\ServicesNetwscsvc]

    (ControlSet) - CurrentControlSet, ControlSet001 etc.

  4. Uaktualnij sygnatury zagro偶e艅 i wykonaj pe艂ne skanowanie komputera (w tym celu mo偶na pobra膰 darmow膮 wersj臋 testow膮 oprogramowania Kaspersky Anti-Virus).