Trojan-Dropper.Win32.VB.tj
Po uruchomieniu trojan wypakowuje ze swojego cia艂a plik o nazwie "KB860509.log" do foldera systemu Windows:
%WinDir%KB860509.log
Plik ten ma rozmiar 26624 bajt贸w. B臋dzie wykrywany przez oprogramowanie Kaspersky Anti-Virus jako Trojan-Clicker.Win32.VB.ss.
Zostanie zmieniona nazwa tego pliku. Now膮 nazw膮 pliku b臋dzie "msswchx.exe":
%WinDir%msswchx.exe
Nast臋pnie plik zostanie zainstalowany jako us艂uga systemowa.
Po uruchomieniu trojan wypakowuje ze swojego cia艂a plik o nazwie "wmpStatus.dll" do foldera systemu Windows:
%System%wmpStatus.dll
Plik ten ma rozmiar 55808 bajt贸w. B臋dzie wykrywany przez oprogramowanie Kaspersky Anti-Virus jako Trojan-Clicker.Win32.VB.up.
Plik ten zostanie nast臋pnie skopiowany do foldera systemowego jako "migload.exe":
%System%migload.exe
Nat臋pnie trojan wypakowuje ze swojego cia艂a plik o nazwie "boot.ini" do foldera systemu Windows:
%WinDir%oot.ini
Plik ten ma rozmiar 8192 bajt贸w. B臋dzie wykrywany przez oprogramowanie Kaspersky Anti-Virus jako Trojan-Clicker.Win32.VB.uo.
Nast臋pnie plik ten zostanie skopiowany do foldera systemowego jako "userinit.exe":
%WinDir%userinit.exe
Aby u偶ytkownikowi nie wy艣wietla艂o si臋 ostrze偶enie o niestandardowym j臋zyku na stronach otwieranych przez trojany zainstalowane w systemie, trojan dodaje nast臋puj膮cy klucz do rejestru systemowego:
"AcceptLanguage"="zh-cn"
Po dostarczeniu swojej szkodliwej funkcji, oryginalny trojan usuwa swoje cia艂o.
Je艣li oprogramowanie antywirusowe zainstalowane na twoim komputerze nie jest aktualne lub nie korzystasz z 偶adnego rozwi膮zania antywirusowego, w celu usuni臋cia szkodnika z zainfekowanego systemu wykonaj nast臋puj膮ce operacje:
- Usu艅 oryginalny plik trojana (lokalizacja b臋dzie zale偶a艂a od sposobu przenikni臋cia programu do zaatakowanego komputera).
- Usu艅 wszystkie pliki stworzone przez trojana:
%WinDir%msswchx.exe %System%wmpStatus.dll %System%migload.exe %WinDir%oot.ini %WinDir%userinit.exe
- Usu艅 nast臋puj膮ce klucze rejestru systemowego:
[HKCUSoftwareMicrosoftInternet ExplorerInternational] "AcceptLanguage"="zh-
cn" [HKLMSystem\EnumRootLEGACY_NETWSCSVC] [HKLMSystem\ServicesNetwscsvc](ControlSet) - CurrentControlSet, ControlSet001 etc.
- Uaktualnij sygnatury zagro偶e艅 i wykonaj pe艂ne skanowanie komputera (w tym celu mo偶na pobra膰 darmow膮 wersj臋 testow膮 oprogramowania Kaspersky Anti-Virus).