Trojan-Downloader.Win32.Dila

Родительский класс: TrojWare

Вредоносные программы, которые осуществляют несанкционированные пользователем действия: уничтожают, блокируют, модифицируют или копируют информацию, нарушают работу компьютеров или компьютерных сетей. В отличие от вирусов и червей, представители этой категории не умеют создавать свои копии, не способны к самовоспроизведению.

Класс: Trojan-Downloader

Предназначены для загрузки и установки на компьютер-жертву новых версий вредоносных программ, установки троянцев или рекламных систем. Загруженные из интернета программы затем либо запускаются на выполнение, либо включаются в список программ, запускаемых при старте операционной системы. Информация об именах и расположении загружаемых программ содержится в коде и данных троянца или скачивается троянцем с управляющего интернет-ресурса (обычно с веб-страницы). Данный тип вредоносных программ в последнее время стал часто использоваться для первоначального заражения посетителей зараженных web-страниц, содержащих эксплойты.

Подробнее

Платформа: Win32

Win32 - платформа, управляемая операционной системой на базе Windows NT (Windows XP, Windows 7 и т.д.), позволяющей исполнять 32-битные приложения. В настоящее время данная платформа является одной из наиболее распространенных.

Описание

Technical Details

Троянская программа-загрузчик. Без ведома пользователя скачивает из интернета программное обеспечение и запускает его. Программа является приложением Windows (PE EXE-файл). Имеет размер 4608 байт, упакована при помощи PE Pack. Написана на языке Ассемблер.

Payload

После запуска троянец выдает следующую ошибку:

Несмотря на сообщение об ошибке, программа начинает выполняться на зараженном компьютере.

Троянец скачивает из интернета следующий файл:

После чего сохраняет скаченный файл в системном каталоге Windows с именем drvmmx32.exe:

Затем регистрирует его в ключе автозапуска системного реестра:

После чего скачанный файл запускается на исполнение.

Removal instructions

1. Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
2. В диспетчере задач завершить процесс:
   drvmmx32.exe
3. Удалить загруженный троянцем файл:
   %System%drvmmx32.exe
4. Удалить следующий ключ реестра:
   [HKLMSoftwareMicrosoftWindowsCurrentVersionRun]
    "main_module"="%System%drvmmx32.exe"
5. Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).

Смотрите также

Узнай статистику распространения уязвимостей в своем регионе statistics.securelist.com