Home → Encyklopedia → Konie trojańskie → Trojan-Downloader.Win32.Agent.mee
Instalacja
Po uruchomieniu trojan kopiuje swoje ciało do podkatalogu “intetsrv” katalogu Windows jako "lsass.exe":
%System%\inetsrv\lsass.exe
Plikowi temu przypisywane są atrybuty "ukryty" i "tylko do odczytu".
Aby zapewnić sobie automatyczne uruchamianie się wraz z każdym startem systemu, trojan rejestruje swój plik wykonywalny w rejestrze systemowym:
[HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows]
"load" = "%System%\inetsrv\lsass.exe"
Dzięki temu trojan uruchamia się, zanim użytkownik uzyska dostęp do systemu Windows.
Trojan tworzy również unikatowy identyfikator, “izokraSizokraS” w celu oflagowania swojej obecności w systemie.
Tworzy również następujący klucz rejestru:
[HKLM\Software\Microsoft\Internet Explorer\inet.]
"Day" = "(data uruchomienia trojana)"
Funkcje szkodnika
Trojan kopiuje swoje ciało do wszystkich dysków sieciowych, logicznych i wymiennych, które zapewniają możliwość zapisu, takich jak te poniżej:
:\MSOCache\90000804-6000-11D3-8CFE-0150048383C9\lsass.exe
(x) określa dysk.
Oprócz swojego pliku wykonywalnego trojan umieszcza również poniższy plik w katalogu głównym każdego dysku:
(X):\autorun.inf
Plik ten będzie uruchamiał plik wykonywalny trojana za każdym razem, gdy użytkownik otworzy zainfekowany dysk przy użyciu Eksploratora.
Wszystkim plikom stworzonym przez trojana przypisywane są atrybuty "ukryty" i "tylko do odczytu".
Usuwanie szkodnika z zainfekowanego systemu
Jeśli oprogramowanie antywirusowe zainstalowane na twoim komputerze nie jest aktualne lub nie korzystasz z żadnego rozwiązania antywirusowego, w celu usunięcia szkodnika z zainfekowanego systemu wykonaj następujące operacje:
[HKLM\Software\Microsoft\Internet Explorer\inet.]
"Day" = "(data uruchomienia trojana)"
[HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows]
"load" = "%System%\inetsrv\lsass.exe"
%System%\inetsrv\lsass.exe :\MSOCache\90000804-6000-11D3-8CFE-0150048383C9\lsass.exe :\autorun.inf
Analizy
Blog