Trojan.Win32.Oficla.dxy

Троянская программа, выполняющая деструктивные действия на компьютере пользователя.

Технические детали

Троянская программа, выполняющая деструктивные действия на компьютере пользователя. Программа является приложением Windows (PE DLL-файл). Имеет размер 20480 байт. Написана на C++.

Инсталляция

Троянец копирует свое тело во временный каталог текущего пользователя под именем "ibee.dwo":

%Temp%\ibee.dwo
Для автоматического запуска при следующем старте системы троянец добавляет запись в ключ автозапуска системного реестра:
[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]  "Shell"="Explorer.exe rundll32.exe %Temp%\ibee.dwo bibltn"  

Деструктивная активность

Если на компьютере пользователя был установлен пакет приложений "Microsoft Office", то троянец устанавливает низкий уровень безопасности, записав следующие значения в ключ системного реестра:

[HKCU\Software\Microsoft\Office\11.0\Word\Security]  "Level" = "1"  "AccessVBOM" = "1"  
И выполняет макрос, с помощью которого запускает на выполнение оригинальное тело троянца.

Для контроля уникальности своего процесса в системе троянец создает уникальный идентификатор с именем:

4025350706efedfa32
Далее троянец создает процесс с именем "svchost.exe" и внедряет в его адресное пространство свой вредоносный код:
svchost.exe
Троянец отправляет запрос по следующему адресу:
http://**artcrip**.com/full/bb.php
На момент создания описания ссылка не работала.

В ответ получает файл конфигурации для дальнейшей своей работы.

Ссылки для загрузки других вредоносных файлов, полученные из файла конфигурации, троянец сохраняет в следующем ключе реестра:

[HKCR\idid]

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

  1. Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
  2. Удалить файлы:
    %Temp%\ibee.dwo
  3. Очистить каталог Temporary Internet Files, который может содержать инфицированные файлы:
    %Temporary Internet Files%
  4. Удалить ключ системного реестра:
    [HKCR\idid]
  5. При необходимости восстановить значения параметров "Level" и "AccessVBOM" в ключе системного реестра:
    [HKCU\Software\Microsoft\Office\11.0\Word\Security]  "Level"  "AccessVBOM"  
  6. Восстановить значение параметра ключа системного реестра на следующее:
    [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]  "Shell" = "Explorer.exe"

MD5: 158D9FFDAED02370432C2536E95578AC
SHA1: D8F8E8DA39B48F2A1B2C0D792F210E885BCFF102