Trojan-Dropper.Win32.Small.bc
Po uruchomieniu trojan kopiuje si臋 do foldera WindowsSystem z nazw膮 nstask32.exe i tworzy dla tej kopii klucze auto-run w rejestrze systemowym, co zapewnia mu uruchamianie wraz z ka偶dym startem systemu operacyjnego:
- [HKLMSoftwareMicrosoftWindowsCurrentVersionRun]
[HKCUSoftwareMicrosoftWindowsCurrentVersionRunonce]
"NDplDeamon"="nstask32.exe" - [HKLMSoftwareMicrosoftWindows NTCurrentVersionWinlogon]
Shell="Explorer.exe nstask32.exe"
Podczas uruchamiania trojan umieszcza w folderze WindowsSystem plik win32sockdrv.dll, kt贸ry jest wykrywany przez oprogramowanie Kaspersky Anti-Virus jako
Trojan tworzy tak偶e plik:
%System%dllcache ftp.exe
po czym usuwa sw贸j oryginalny plik wykonywalny.
W celu usuni臋cia szkodnika z systemu nale偶y wykona膰 nast臋puj膮ce operacje:
- Usun膮膰 z dysku nast臋puj膮ce pliki:
%System% stask32.exe %System%win32sockdrv.dll %System%dllcache ftp.exe
- Usun膮膰 z rejestru nast臋puj膮ce klucze:
- [HKLMSoftwareMicrosoftWindowsCurrentVersionRun]
[HKCUSoftwareMicrosoftWindowsCurrentVersionRunonce]
"NDplDeamon"="nstask32.exe" - [HKLMSoftwareMicrosoftWindows NTCurrentVersionWinlogon]
Shell="Explorer.exe nstask32.exe"
- [HKLMSoftwareMicrosoftWindowsCurrentVersionRun]