Security Lab

Trojan-Dropper.Win32.Agent.dwpo

Trojan-Dropper.Win32.Agent.dwpo

Троянская программа, которая устанавливает и запускает другое программное обеспечение на компьютере без ведома пользователя.

Технические детали

Троянская программа, которая устанавливает и запускает другое программное обеспечение на зараженном компьютере без ведома пользователя. Программа является приложением Windows (PE EXE-файл). Имеет размер 26112 байт. Программа упакована неизвестным упаковщиком. Распакованный размер – около 115 КБ. Написана на C++.


Деструктивная активность

Троянец выполняет деструктивный функционал непосредственно в контексте своего процесса или, если операционная система младше Windows Vista, внедряя вредоносный код в процесс:

Explorer.exe
Троянец завершает свою работу, если основной язык системы указан как "Russian (ru)".

Выполняет загрузку файлов со следующих URL адресов:

http://****ick.com/timuo/sjnlgn.php?adv=adv425  http://****ast.com/timuo/sjnlgn.php?adv=adv425  http://****ick.com/timuo/tyfnhc.php?adv=adv425  http://****ast.com/timuo/tyfnhc.php?adv=adv425  http://****ick.com/timuo/xbvqxsa.php?adv=adv425  http://****ast.com/timuo/xbvqxsa.php?adv=adv425  http://****ick.com/timuo/xavdxsz.php?adv=adv425  http://****ast.com/timuo/xavdxsz.php?adv=adv425  http://****ick.com/timuo/hyfaitavt.php?adv=adv425  http://****ast.com/timuo/hyfaitavt.php?adv=adv425  http://****ick.com/timuo/qhlkrzhf.php?adv=adv425  http://****ast.com/timuo/qhlkrzhf.php?adv=adv425  http://****ick.com/timuo/kbwdyfeyta.php?adv=adv425  http://****ast.com/timuo/kbwdyfeyta.php?adv=adv425  http://****ick.com/timuo/mmaucwe.php?adv=adv425  http://****ast.com/timuo/mmaucwe.php?adv=adv425  http://****ick.com/timuo/cptrlg.php?adv=adv425  http://****ast.com/timuo/cptrlg.php?adv=adv425  http://****ick.com/timuo/izgowq.php?adv=adv425  http://****ast.com/timuo/izgowq.php?adv=adv425  http://****ick.com/timuo/iztbjhowu.php?adv=adv425  http://****ast.com/timuo/iztbjhowu.php?adv=adv425  
На момент создания описания ссылки не работали.

Сохраняет загруженные файлы во временном каталоге текущего пользователя под следующими именами:

%Temp%\yuwirxr.exe  %Temp%\yhoy.exe  %Temp%\cjjansd.exe  %Temp%\bjclo.exe  %Temp%\tepsq.exe  %Temp%\gkvuvv.exe  %Temp%\tirjbc.exe  %Temp%\dudijxrv.exe  %Temp%\apaejas.exe  %Temp%\pldvdf.exe  %Temp%\gwaet.exe  
Также троянец отправляет на следующие URL адреса:
http://****ick.com/timuo/zptfzubjhp.php  http://****ast.com/timuo/zptfzubjhp.php  
информацию о том, какой браузер в системе установлен по умолчанию. После этого троянец завершает свою работу и удаляет свое тело.

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

  1. Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
  2. Удалить файлы:
    %Temp%\yuwirxr.exe  %Temp%\yhoy.exe  %Temp%\cjjansd.exe  %Temp%\bjclo.exe  %Temp%\tepsq.exe  %Temp%\gkvuvv.exe  %Temp%\tirjbc.exe  %Temp%\dudijxrv.exe  %Temp%\apaejas.exe  %Temp%\pldvdf.exe  %Temp%\gwaet.exe  

MD5: 8FCCFB1A11B5C7AA8DC23B8C6DC97D7C
SHA1: 53B1E2100CD2E65CFE5B9DE96CDDC7808836A045

Ваша приватность умирает красиво, но мы можем спасти её.

Присоединяйтесь к нам!