Trojan.Win32.Pincav.avql

Троянская программа, выполняющая деструктивные действия на компьютере пользователя.

Технические детали

Троянская программа, выполняющая деструктивные действия на компьютере пользователя. Программа является приложением Windows (PE EXE-файл). Имеет размер 13312 байт. Написана на Delphi.


Деструктивная активность

После запуска троянец создает копию системного файла:

%System%\urlmon.dll
под следующим именем:
%System%\urlmons.dll
Который потом использует в своей работе.

После этого троянец внедряет вредоносный код в системный процесс с именем:

svchost
Внедренный код выполняет загрузку файла со следующего URL адреса:
http://images.****1o.com/Pictures/P1C/P1C.exe
На момент создания описания ссылка не работала.

Сохраняет скачанный файл во временном каталоге текущего пользователя под именем:

%Temp%\Pointer.exe
После чего выполняет запуск загруженного файла. Затем троянец удаляет свое оригинальное тело и завершает работу.

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

  1. Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
  2. Удалить файлы:
    %System%\urlmons.dll  %Temp%\Pointer.exe  

MD5: FD8C0497514E5592C1DE813E0733A1DF
SHA1: 328876ABDAFC8493A44307C6159EDD3BE9E25D77