Trojan-Downloader.Win32.Delf.awg
Trojan powsta艂 przy u偶yciu 艣rodowiska programistycznego Borland Delphi. Ma posta膰 pliku Windows PE EXE o rozmiarze oko艂o 11 KB (kompresja Upack, rozmiar po rozpakowaniu - oko艂o 270 KB).
Trojan sprawdza klucz
[HKCUSoftwareMicrosoftWindows]
"m"="m"
Nast臋pnie trojan uruchamia program o nazwie svchost.exe i wstrzykuje kod, kt贸ry zawiera procedur臋 pobierania plik贸w.
Po uruchomieniu procedury zostan膮 pobrane pliki z nast臋puj膮cych adres贸w:
- http://rikoger.com/lo***/1/1.exe (wykrywany przez oprogramowanie Kaspersky Anti-Virus jako
Trojan-PSW.Win32.LdPinch.awp ) - http://rikoger.com/lo***/2/2.exe (wykrywany przez oprogramowanie Kaspersky Anti-Virus jako
Email-Worm.Win32.Scano.as ) - http://rikoger.com/lo***/3/3.exe (wykrywany przez oprogramowanie Kaspersky Anti-Virus jako
Trojan-Proxy.Win32.Xorpix.am )
Pobrane pliki zostan膮 zapisane w folderze tymczasowym systemu Windows pod nast臋puj膮cymi nazwami:
csrss.exe lsass.exe smss.exe
Po pobraniu plik贸w trojan sprawdza rozmiar ka偶dego z nich. Plik, kt贸rego rozmiar wynosi zero, zostanie pobrany ponownie.
Trojan sprawdza r贸wnie偶 pobrane pliki pod k膮tem obecno艣ci sygnatury pliku EXE (nag艂贸wek MZ). Je艣li znajdzie tak膮 sygnatur臋, plik zostanie uruchomiony.
W celu usuni臋cia szkodnika z zainfekowanego systemu nale偶y wykona膰 nast臋puj膮ce czynno艣ci:
- U偶y膰 Mened偶era Zada艅, aby zako艅czy膰 proces trojana
- Usun膮膰 nast臋puj膮cy parametr z rejestru systemowego:
[HKCUSoftwareMicrosoftWindows]
"m"="m" - Usun膮膰 poni偶sze pliki z tymczasowego foldera Windows:
csrss.exe lsass.exe smss.exe
- Uaktualni膰 sygnatury zagro偶e艅 i wykona膰 pe艂ne skanowanie komputera (w tym celu mo偶na skorzysta膰 z darmowej wersji testowej oprogramowania Kaspersky Anti-Virus).