Trojan.Win32.Agent.dcc
Po uruchomieniu trojan kopiuje sw贸j plik wykonywalny w poni偶szy spos贸b:
%System%drivers untime.sys
W celu zapewnienia sobie uruchamiania si臋 wraz z ka偶dym startem systemu trojan tworzy us艂ug臋 systemow膮 o nazwie "Runtime", kt贸ra uruchamia plik wykonywalny trojana wraz z ka偶dym uruchomieniem systemu Windows. Utworzony zostanie nast臋puj膮cy klucz rejestru:
Po zainstalowaniu trojan usuwa sw贸j oryginalny plik.
Trojan posiada szkodliw膮 funkcj臋. Ma posta膰 pliku PE EXE o rozmiarze 20480 bajt贸w.
Trojan zawiera modu艂 rootkita, kt贸ry maskuje obecno艣膰 plik贸w trojana na dysku twardym, jak r贸wnie偶 obecno艣膰 poni偶szych plik贸w:
%System% toskrnl.exe %System% tkrnlpa.exe %System% tkrnlmp.exe %System% tkrpamp.exe
Ponadto maskuje obecno艣膰 proces贸w zwi膮zanych z tymi plikami.
Trojan uruchamia r贸wnie偶 ukryty proces o nazwie "iexplore.exe". Szkodnik wstrzykuje sw贸j do tego procesu sw贸j, kt贸ry pobiera pliki z poni偶szych adres贸w:
208.66.194.*** 66.246.252.*** 208.66.195.*** 74.53.42.*** 74.53.42.***
Pobrane pliki zostan膮 zapisane w nast臋puj膮cy spos贸b:
%TEMP%(rnd).exe
przy czym (rnd) oznacza losow膮 sekwencj臋 liczb.
Po tym, jak zostan膮 pobrane, pliki te zostan膮 uruchomione w celu wykonania.
Je艣li oprogramowanie antywirusowe zainstalowane na twoim komputerze nie jest aktualne lub nie korzystasz z 偶adnego rozwi膮zania antywirusowego, w celu usuni臋cia szkodnika z zainfekowanego systemu wykonaj nast臋puj膮ce operacje:
- U偶yj Mened偶era zada艅 w celu zako艅czenia procesu szkodliwego programu.
- Usu艅 nast臋puj膮cy klucz rejestru systemowego:
[HKLMSystemCurrentControlSetServices untime] - Usu艅 nast臋puj膮cy plik:
%System%drivers untime.sys
- Usu艅 zawarto艣膰 %Temp%
- Uaktualnij sygnatury zagro偶e艅 i wykonaj pe艂ne skanowanie komputera (w tym celu mo偶na pobra膰 darmow膮 wersj臋 testow膮 oprogramowania Kaspersky Anti-Virus).