Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Trojan-Downloader.Win32.Small.dcj

Jest to trojan pobierający z Internetu inne pliki bez wiedzy i zgody użytkownika zainfekowanego komputera. Powstał przy użyciu języka programowania Assembler i ma postać pliku PE EXE o rozmiarze 3 072 bajtów .

Instalacja

Po uruchomieniu trojan tworzy swój wpis w rejestrze systemowym:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"WinMedia" = "nazwa_pliku_trojana"

W ten sposób szkodnik zapewnia sobie uruchamianie wraz z każdym startem systemu operacyjnego.

W celu oznaczenia zainfekowanego systemu trojan tworzy unikatowy identyfikator o nazwie:

0b.bot

Funkcje trojana

Trojan czeka aż zainfekowany komputer nawiąże połączenie z Internetem. Następnie szkodnik łączy się z adresem 245.47.***.216 za pośrednictwem portu 2514. Numer portu i adres serwera może być inny w zależności od wersji trojana. Po nawiązaniu połączenia trojan pobiera szkodliwy kod z serwera.

Następnie szkodnik uruchamia plik %system%\servises.exe, wstrzykuje szkodliwy kod pobrany z serwera do procesu i przekazuje do niego kontrolę.

Usuwanie szkodnika z zainfekowanego systemu

W celu usunięcia szkodnika z zainfekowanego systemu należy wykonać następujące czynności:

  1. Przy użyciu Menedżera zadań zamknąć proces trojana
  2. Usunąć z dysku oryginalny plik trojana (jego lokalizacja jest zależna od metody wykorzystanej do zainfekowania komputera)

  3. Usunąć następujący wpis z rejestru systemowego:

    [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
    "WinMedia" = "nazwa_pliku_trojana"

  4. Uaktualnić sygnatury zagrożeń i wykonać pełne skanowanie antywirusowe całego komputera (w tym celu można skorzystać z wersji testowej oprogramowania Kaspersky Anti-Virus)