Home → Encyklopedia → Konie trojańskie → Trojan.Win32.Agent.azsy
Instalacja
Po uruchomieniu trojan kopiuje swoje ciało do foldera startowego systemu Windows:
%Documents and Settings%\<user_name>\Main Menu\Programs\Startup\uninstall.exe
Funkcje szkodnika
Po powtórnym uruchomieniu zaatakowanej maszyny trojan wypakowuje ze swojego ciała plik. Plik będzie miał jedną z poniższych nazw:
%Documents and Settings%\<user_name>\Application Data\svchosts.exe %Documents and Settings%\<user_name>\Application Data\taskmon.exe %Documents and Settings%\<user_name>\Application Data\rundll.exe %Documents and Settings%\<user_name>\Application Data\service.exe %Documents and Settings%\<user_name>\Application Data\sound.exe %Documents and Settings%\<user_name>\Application Data\upnpsvc.exe %Documents and Settings%\<user_name>\Application Data\lsas.exe %Documents and Settings%\<user_name>\Application Data\logon.exe %Documents and Settings%\<user_name>\Application Data\helper.exe %Documents and Settings%\<user_name>\Application Data\event.exe %Documents and Settings%\<user_name>\Application Data\dumpreport.exe %Documents and Settings%\<user_name>\Application Data\msiexeca.exe
Rozmiar pliku wynosi 404992 bajtów. Jest wykrywany przez oprogramowanie Kaspersky Anti-Virus jako Trojan-Downloader.Win32.Agent.aoth.
Aby zapewnić sobie automatyczne uruchamianie się wraz z każdym restartem systemu operacyjnego, trojan umieszcza odsyłacz do rozpakowanego przez siebie pliku w rejestrze systemowym:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"<rnd1>" = "<rnd2>"
<rnd1> jest nazwą wybieraną z poniższej listy:
CrashDump EventLog Init lsass Regscan RunDll Setup Sound svchosts System TaskMon UPNP Windows
<rnd> jest ścieżką do pliku wypakowanego z trojana znajdującego się na liście wyżej.
Po tym, jak trojan dostarczy swoją szkodliwą funkcję, usunie zarówno swoje ciało jak i swoją kopię "%Documents and Settings%\\Main Menu\Programs\Startup\uninstall.exe".
Trojan ten nie będzie działał w rosyjskich wersjach systemu Windows.
Usuwanie szkodnika z zainfekowanego systemu
Jeśli oprogramowanie antywirusowe zainstalowane na twoim komputerze nie jest aktualne lub nie korzystasz z żadnego rozwiązania antywirusowego, w celu usunięcia szkodnika z zainfekowanego systemu wykonaj następujące operacje:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"<rnd1>" = "<rnd2>"
%Documents and Settings%\<user_name>\Application Data\svchosts.exe %Documents and Settings%\<user_name>\Application Data\taskmon.exe %Documents and Settings%\<user_name>\Application Data\rundll.exe %Documents and Settings%\<user_name>\Application Data\service.exe %Documents and Settings%\<user_name>\Application Data\sound.exe %Documents and Settings%\<user_name>\Application Data\upnpsvc.exe %Documents and Settings%\<user_name>\Application Data\lsas.exe %Documents and Settings%\<user_name>\Application Data\logon.exe %Documents and Settings%\<user_name>\Application Data\helper.exe %Documents and Settings%\<user_name>\Application Data\event.exe %Documents and Settings%\<user_name>\Application Data\dumpreport.exe %Documents and Settings%\<user_name>\Application Data\msiexeca.exe
Analizy
Blog