Trojan-Downloader.Win32.Small.ydh

Trojan ten pobiera inne pliki za po艣rednictwem Internetu i uruchamia je w celu wykonania na zdalnej maszynie bez wiedzy czy zgody u偶ytkownika. Ma posta膰 pliku PE EXE o rozmiarze 34816 bajt贸w. Nie zosta艂 w 偶aden spos贸b spakowany. Powsta艂 w j臋zyku programowania C++.

Instalacja

Po uruchomieniu trojan kopiuje swoje cia艂o do foldera tymczasowego systemu Windows w nast臋puj膮cy spos贸b:

%Temp%hbgdown.exe
%Temp%msdtc.exe

W celu zapewnienia sobie uruchamiania si臋 wraz z nast臋pnym startem systemu trojan tworzy us艂ug臋 o nazwie “HTTP SSH”:

[HKLMSYSTEMCurrentControlSetServicesHTTP SSH]
"DisplayName" = "HTTP SSH"
"ErrorControl" = "0"
"ImagePath" = "%Temp%msdtc.exe"
"ObjectName" = "LocalSystem"
"Start" = "2"
"Type" = "10"

Funkcje szkodnika

Trojan pobiera plik z poni偶szego adresu URL:

http://*****gcdon.com.cn/v.exe

Plik ten jest zapisywany do foldera tymczasowego systemu Windows w nast臋puj膮cy spos贸b:

%Temp%gbn.exe

Pobrany plik zostanie nast臋pnie uruchomiony w celu wykonania.

W momencie tworzenia tego opisu odsy艂acz ten nie dzia艂a艂.

Usuwanie szkodnika z zainfekowanego systemu

Je艣li oprogramowanie antywirusowe zainstalowane na twoim komputerze nie jest aktualne lub nie korzystasz z 偶adnego rozwi膮zania antywirusowego, w celu usuni臋cia szkodnika z zainfekowanego systemu wykonaj nast臋puj膮ce operacje:

  1. U偶yj Mened偶era zada艅 w celu zako艅czenia procesu trojana.
  2. Usu艅 nast臋puj膮cy klucz rejestru systemowego:

    [HKLMSYSTEMCurrentControlSetServicesHTTP SSH]

  3. Usu艅 oryginalny plik trojana (lokalizacja b臋dzie zale偶a艂a od sposobu przenikni臋cia programu do zaatakowanego komputera).
  4. Usu艅 nast臋puj膮ce pliki:
     
    %Temp%hbgdown.exe
    %Temp%msdtc.exe
    %Temp%gbn.exe
    
  5. Usu艅 pliki z %Temporary Internet Files%.
  6. Uaktualnij sygnatury zagro偶e艅 i wykonaj pe艂ne skanowanie komputera (w tym celu mo偶na pobra膰 darmow膮 wersj臋 testow膮 oprogramowania Kaspersky Anti-Virus).