Trojan.Win32.Macur

Technical Details

Троянская программа. Написана на ассемблере, ничем не упакована. Размер зараженного файла — 8192 байта.

Если троянец был запущен не из корневого каталога Windows (%Windir%), то выдается окошко с ошибкой и текстом «Bad image header»:

При запуске троянец копирует себя в корневой каталог Windows с именем pic.exe:

После чего дописывает в файл win.ini в ключ load строку pic.exe для автозагрузки:

Далее троянец создаёт 1500 каталогов в корневом каталоге Windows с именами из нулей, единиц, двоек, троек, четвёрок и пятёрок.

Троян содержит следующие строки:

Removal instructions

1. Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
2. Удалить созданный троянцем файл:
   %Windir%pic.exe
3. Удалить в файле win.ini следующую строку (только для Windows 95/98/Me):
   load=pic.exe
4. Удалить все созданные троянцем каталоги.
5. Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).