Родительский класс: TrojWare
Вредоносные программы, которые осуществляют несанкционированные пользователем действия: уничтожают, блокируют, модифицируют или копируют информацию, нарушают работу компьютеров или компьютерных сетей. В отличие от вирусов и червей, представители этой категории не умеют создавать свои копии, не способны к самовоспроизведению.Класс: Trojan-Downloader
Предназначены для загрузки и установки на компьютер-жертву новых версий вредоносных программ, установки троянцев или рекламных систем. Загруженные из интернета программы затем либо запускаются на выполнение, либо включаются в список программ, запускаемых при старте операционной системы. Информация об именах и расположении загружаемых программ содержится в коде и данных троянца или скачивается троянцем с управляющего интернет-ресурса (обычно с веб-страницы). Данный тип вредоносных программ в последнее время стал часто использоваться для первоначального заражения посетителей зараженных web-страниц, содержащих эксплойты.Подробнее
Платформа: Win32
Win32 - платформа, управляемая операционной системой на базе Windows NT (Windows XP, Windows 7 и т.д.), позволяющей исполнять 32-битные приложения. В настоящее время данная платформа является одной из наиболее распространенных.Описание
Technical Details
Троянец, который скачивает из Интернета и запускает на исполнение другое программное обеспечение без ведома пользователя. Является приложением Windows (PE EXE-файл). Имеет размер 3584 байта. Написан на С++.Payload
После запуска производится проверка системы на наличие средств защиты от несанкционированного доступа в Интернет (Outpost Firewall, Zone Alarm и Symantec Internet Security). В случае обнаружения данных программных продуктов троянец производит самоуничтожение — удаляет себя из системы.
Если ничего не обнаружено, осуществляется загрузка файла, расположенного по следующей ссылке:
http://216.65.106.***/proces.exe
(На момент создания описания она не работала.)
Скачанный файл сохраняется под именем «system.exe» во временный каталог Windows:
%Temp%system.exe
Далее троянец скрыто запускает этот процесс и удаляет себя из системы.
Removal instructions
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для ее удаления необходимо выполнить следующие действия:
- Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
- Удалить скачанный файл:
%Temp%system.exe
- Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).
Смотрите также
Узнай статистику распространения уязвимостей в своем регионе statistics.securelist.com