Trojan-Notifier.Win32.Sysbopt

Класс Trojan-Notifier
Платформа Win32
Описание

Removal instructions

  1. В диспетчере задач завершить троянский процесс.
  2. Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
  3. Удалить следующий файл:
    %Windir%<оригинальное имя троянца>
  4. Удалить из системного реестра следующую запись:
    [HKCUSoftwareMicrosoftWindows NTCurrentVersionWindows]
     «load»=»%Windir%<оригинальное имя троянца>«
  5. Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).

Technical Details

Троянская программа, предназначенная для извещения злоумышленника об успешной инсталляции троянской компоненты в атакуемую систему.

Является приложением Windows (PE EXE-файл). Написана на ассемблере. Размер зараженных файлов незначительно варьируется в пределах от 1600 байт до 4096 байт.

Payload

После запуска троянская программа копирует себя в корневой каталог Windows со своим оригинальным именем:

%Windir%<оригинальное имя троянца>

После чего регистрирует себя в следующем ключе системного реестра:

[HKCUSoftwareMicrosoftWindows NTCurrentVersionWindows]
 «load»=»%Windir%оригинальное имя троянца>»

При каждой следующей загрузке Windows автоматически запустит файл троянца.

Троянец ожидает соединения с интернетом, проверяя его наличие каждые 5 секунд.

При наличии соединения троянец открывает URL специального вида:

http://web.icq.com/whitepages/p***_me/…..

Открытие данного URL приводит к тому, что конкретному пользователю ICQ приходит сообщение с IP-адресом, именем компьютера и именем пользователя с заражённого компьютера. При переподключении к интернету данное сообщение отправляется заново.