Деструктивная активность
После активации троянец добавляет свой исполняемый файл в список исключений в Windows XP Firewall:
[HKLM\System\ControlSet001\Services\SharedAccess\ Parameters\FirewallPolicy\ StandardProfile\AuthorizedApplications\List] "<путь к оригинальному файлу троянца>" = "<путь к оригинальному файлу троянца>:*:Enabled:RASS Server"
Если троянец находит в системе файл с именем: iBank
то производит загрузку файлов с одного из следующих URL: http://213.182.197.***/update/javaw.exe
Данный файл имеет размер 102400 байт и детектируется Антивирусом Касперского как Trojan-Spy.Win32.Agent.ayjb. http://213.182.197.***/update/bss.exe
Данный файл имеет размер 106496 байт и детектируется Антивирусом Касперского как Trojan-Spy.Win32.Agent.ayiv. http://213.182.197.***/update/fak.exe
Данный файл имеет размер 100864 байта и детектируется Антивирусом Касперского как Trojan-Spy.Win32.Agent.ayiw.
Если троянец находит в системе файлы с именами: Core.exe
BS-Defender
BSClnt
То троянец производит загрузку файла со следующего URL: http://213.182.197.***/update/socks5.exe
На момент создания описания ссылка не работала. Загруженные файлы троянец сохраняет под следующими именами соответственно: %Program Files%\Common Files\sqlserv.exe
%Program Files%\Common Files\sqlbrowser.exe
%Program Files%\Common Files\sql.exe
%Program Files%\Common Files\sqlbrowse.exe
После успешного сохранения файлы запускаются на выполнение. Если троянец находит в системе файл с именем: LBank
То троянец завершает свою работу. Также троянец во временном каталоге текущего пользователя Windows создает файл командного интерпретатора под именем "del.bat": %Temp%\del.bat
В данный файл троянец записывает код для отправки двух ICM пакетов с интервалом в 1 секунду на локальный узел, удаления оригинального тела троянца и самого файла командного интерпретатора. Далее файл запускается на выполнение.
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
- При помощи ( "Диспетчера задач") завершить троянский процесс.
- Удалить ключ (системного реестра):
[HKLM\System\ControlSet001\Services\SharedAccess\ Parameters\FirewallPolicy\ StandardProfile\AuthorizedApplications\List] "<путь к оригинальному файлу троянца>" = "< путь к оригинальному файлу троянца> :*:Enabled:RASS Server"
- Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
- Удалить файлы:
%Program Files%\Common Files\sqlserv.exe
%Program Files%\Common Files\sqlbrowser.exe
%Program Files%\Common Files\sql.exe
%Program Files%\Common Files\sqlbrowse.exe
- Очистить каталог %Temporary Internet Files% ).
- Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).
|