Trojan.Win32.Donoth

Technical Details

Троянская программа. Является приложением Windows (PE EXE-файл). Имеет размер 12288 байт.

Инсталляция

При запуске троянец копирует свой исполняемый файл в корневой каталог Windows:

%WinDir%??????.exe

С целью автоматического запуска при новом старте операционной системы вирус добавляет ссылку на данный файл в ключ автозапуска системного реестра:

[HKLMSoftwareMicrosoftWindowsCurrentVersionRun]
"??????" = "%WinDir%??????.exe"

Payload

Троянец извлекает из своего тела видеоролик и воспроизводит его.

Removal instructions

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для ее удаления необходимо выполнить следующие действия:

1. При помощи «Диспетчера задач» завершить троянский процесс.
2. Удалить оригинальный файл вируса (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
3. Удалить параметр из ключа системного реестра:

   [HKLMSoftwareMicrosoftWindowsCurrentVersionRun]
   "??????" = "%WinDir%??????.exe"

4. Удалить файл:

   %WinDir%??????.exe

5. Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).