Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Trojan-Downloader.Win32.Agent.mee

Szkodnik ten jest trojanem. Ma postać pliku PE EXE. Rozmiar zainfekowanych plików może wahać się od 70KB do 260KB. Nie został w żaden sposób spakowany. Powstał w języku programowania Delphi.

Instalacja

Po uruchomieniu trojan kopiuje swoje ciało do podkatalogu “intetsrv” katalogu Windows jako "lsass.exe":

%System%\inetsrv\lsass.exe

Plikowi temu przypisywane są atrybuty "ukryty" i "tylko do odczytu".

Aby zapewnić sobie automatyczne uruchamianie się wraz z każdym startem systemu, trojan rejestruje swój plik wykonywalny w rejestrze systemowym:

[HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows]
"load" = "%System%\inetsrv\lsass.exe"

Dzięki temu trojan uruchamia się, zanim użytkownik uzyska dostęp do systemu Windows.

Trojan tworzy również unikatowy identyfikator, “izokraSizokraS” w celu oflagowania swojej obecności w systemie.

Tworzy również następujący klucz rejestru:

[HKLM\Software\Microsoft\Internet Explorer\inet.]
"Day" = "(data uruchomienia trojana)"

Funkcje szkodnika

Trojan kopiuje swoje ciało do wszystkich dysków sieciowych, logicznych i wymiennych, które zapewniają możliwość zapisu, takich jak te poniżej:

:\MSOCache\90000804-6000-11D3-8CFE-0150048383C9\lsass.exe

(x) określa dysk.

Oprócz swojego pliku wykonywalnego trojan umieszcza również poniższy plik w katalogu głównym każdego dysku:

(X):\autorun.inf

Plik ten będzie uruchamiał plik wykonywalny trojana za każdym razem, gdy użytkownik otworzy zainfekowany dysk przy użyciu Eksploratora.

Wszystkim plikom stworzonym przez trojana przypisywane są atrybuty "ukryty" i "tylko do odczytu".

Usuwanie szkodnika z zainfekowanego systemu

Jeśli oprogramowanie antywirusowe zainstalowane na twoim komputerze nie jest aktualne lub nie korzystasz z żadnego rozwiązania antywirusowego, w celu usunięcia szkodnika z zainfekowanego systemu wykonaj następujące operacje:

  1. Użyj Menedżera zadań w celu zakończenia oryginalnego procesu trojana.
  2. Usuń następujący klucz rejestru systemowego:

    [HKLM\Software\Microsoft\Internet Explorer\inet.]
    "Day" = "(data uruchomienia trojana)"

  3. Usuń następującą wartość parametru klucza rejestru:

    [HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows]
    "load" = "%System%\inetsrv\lsass.exe"

  4. Usuń oryginalny plik trojana (lokalizacja będzie zależała od sposobu przeniknięcia programu do zaatakowanego komputera).
  5. Usuń następujące pliki:
    %System%\inetsrv\lsass.exe
    :\MSOCache\90000804-6000-11D3-8CFE-0150048383C9\lsass.exe
    :\autorun.inf
    
  6. Uaktualnij sygnatury zagrożeń i wykonaj pełne skanowanie komputera (w tym celu można pobrać darmową wersję testową oprogramowania Kaspersky Anti-Virus).
<alias> Trojan-Downloader.Win32.Agent.mee (Kaspersky Lab), </alias>