Trojan.Win32.Agent.eigh
Троянская программа, загружающая файлы из сети Интернет без ведома пользователя и запускающая их.
Технические детали
Троянская программа, загружающая файлы из сети Интернет без ведома пользователя и запускающая их. Является приложением Windows (PE-EXE файл). Имеет размер 5632 байта. Написана на C++.
Инсталляция
После запуска троянец копирует свое тело в следующий файл:
C:\Program Files\Common Files\seria.exe
Затем созданная копия запускается на выполнение.
Для удаления своего оригинального файла после завершения его работы троянец создает в каталоге хранения временных файлов текущего пользователя "%Temp%" сценарий командного интерпретатора "Del.bat" следующего содержания:
@ping -n 3 127.0.0.1>nul
@del /F /Q "<полный путь к оригинальному файлу
троянца>"
@del /F /Q "%Temp%\Del.bat"
@exit
Далее созданный сценарий запускается на выполнение. При этом сам файл сценария также удаляется.
Деструктивная активность
После запуска троянец выполняет следующие действия:
- для контроля уникальности своего процесса в системе создает уникальные идентификаторы с именами:
mutex_reboot_down
mutex_cpa_.la
- Перемещает свое тело в каталог Автозагрузка текущего пользователя, что дает троянцу возможность автоматически запускаться при каждом следующем старте системы:
%ALLUSERSPROFILE%\Start Menu\Programs\Startup\seria.exe
- Информирует злоумышленника об успешном заражении системы, открывая ссылку:
http://vip.c***e.cn:81/admin/count.php?isOnline=1
- Останавливает службу брандмауэра Windows, выполняя команду: net stop sharedaccess
- Загружает с сервера злоумышленника список URL для загрузки файлов на зараженный компьютер по следующей ссылке:
http://list.c***e.cn:6668/Down/list.txt
Загруженные данные сохраняются в файле:
c:\Program Files\nowlist2.dat
- Считывает ссылки из "nowlist2.dat" и загружает по ним файлы. Файлы сохраняются под следующими именами:
d:\WinsUp\kb75818<rnd>.exe
где <rnd> – случайные числа.
После успешной загрузки файлы запускаются на выполнение.
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
- При помощи Диспетчера задач завершить процесс "seria.exe".
- Удалить файлы:
C:\Program Files\Common Files\seria.exe
%ALLUSERSPROFILE%\Start Menu\Programs\
Startup\seria.exe
- Удалить каталог и все его содержимое:
d:\WinsUp
- Очистить каталог Temporary Internet Files, который может содержать инфицированные файлы.
Домашний Wi-Fi – ваша крепость или картонный домик?