Trojan-Notifier.Win32.Sysbopt

Removal instructions

1. В диспетчере задач завершить троянский процесс.
2. Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
3. Удалить следующий файл:
   %Windir%<оригинальное имя троянца>
4. Удалить из системного реестра следующую запись:
   [HKCUSoftwareMicrosoftWindows NTCurrentVersionWindows]
    «load»=»%Windir%<оригинальное имя троянца>«
5. Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).

Technical Details

Троянская программа, предназначенная для извещения злоумышленника об успешной инсталляции троянской компоненты в атакуемую систему.

Является приложением Windows (PE EXE-файл). Написана на ассемблере. Размер зараженных файлов незначительно варьируется в пределах от 1600 байт до 4096 байт.

Payload

После запуска троянская программа копирует себя в корневой каталог Windows со своим оригинальным именем:

После чего регистрирует себя в следующем ключе системного реестра:

При каждой следующей загрузке Windows автоматически запустит файл троянца.

Троянец ожидает соединения с интернетом, проверяя его наличие каждые 5 секунд.

При наличии соединения троянец открывает URL специального вида:

Открытие данного URL приводит к тому, что конкретному пользователю ICQ приходит сообщение с IP-адресом, именем компьютера и именем пользователя с заражённого компьютера. При переподключении к интернету данное сообщение отправляется заново.