Trojan-Downloader.Win32.Nurech.bg

Trojan ten pobiera pliki poprzez Internet bez wiedzy czy zgody u偶ytkownika. Ma posta膰 pliku PE EXE o rozmiarze 23 552 bajt贸w.

Instalacja

Po uruchomieniu trojan kopiuje sw贸j plik wykonywalny do foldera systemowego.

%System%iisca.exe

Trojan dodaje r贸wnie偶 nast臋puj膮cy parametr do rejestru systemowego:

[HKLMSoftwareMicrosoftWindowsCurrentVersionRun]
gtydf="iisca.exe"

Trojan tworzy r贸wnie偶 nast臋puj膮cy parametr klucza systemu rejestrowego:

[HKLMSoftwareMicrosoftWindowsCurrentVersion]
"wef"

Funkcje szkodnika

Trojan umieszcza plik zawieraj膮cy list臋 odsy艂aczy i b臋dzie pobiera艂 pliki z tych odsy艂aczy.

%System%driversqias.tx

Plik posiada nast臋puj膮ca zawarto艣膰:

http://knowledgecentral.co.uk/images***
http://kimmaguire.com/org/camden***
http://fruitsinsuits.com.hk/images***
http://marketing-know-how.com/just***
http://abot.org/iad***
http://www.berkili-maschinen.de/img***
http://www.renatekoch.com/html***
http://81.95.147.138***

Trojan pobiera pliki z tych odsy艂aczy i zapisuje je w folderze systemowym pod r贸偶nymi nazwami. Nast臋pnie pliki s膮 uruchamiane w celu wykonania.

W momencie powstawania tego opisu plik umieszczony w tych odsy艂aczach jest wykrywany przez oprogramowanie Kaspersky Anti-Virus jako Trojan-Spy.Win32.BZub.ir

Trojan zamyka nast臋puj膮ce procesy:

outpost.exe
lspfix.exe
kavpf.exe
zlclient.exe
kpf4ss.exe

Usuwanie szkodnika z zainfekowanego systemu

Je艣li oprogramowanie antywirusowe zainstalowane na twoim komputerze nie jest aktualne lub nie korzystasz z 偶adnego rozwi膮zania antywirusowego, w celu usuni臋cia szkodnika z zainfekowanego systemu wykonaj nast臋puj膮ce operacje:

  1. U偶yj Mened偶era zada艅 w celu zako艅czenia oryginalnego procesu trojana.
  2. Usu艅 oryginalny plik trojana (lokalizacja b臋dzie zale偶a艂a od sposobu przenikni臋cia programu do zaatakowanego komputera).
  3. Usu艅 nast臋puj膮ce pliki:
    %System%iisca.exe
    %System%driversqias.tx
    
  4. Usu艅 nast臋puj膮ce parametry kuczty rejestru systemowego:

    [HKLMSoftwareMicrosoftWindowsCurrentVersionRun]
    gtydf="iisca.exe"

    [HKLMSoftwareMicrosoftWindowsCurrentVersion]
    "wef"

  5. Uaktualnij sygnatury zagro偶e艅 i wykonaj pe艂ne skanowanie komputera (w tym celu mo偶na pobra膰 darmow膮 wersj臋 testow膮 oprogramowania Kaspersky Anti-Virus).